web-dev-qa-db-ja.com

一部の銀行は、オンラインセキュリティについて顧客にどのように不適切にアドバイスしていますか?

次のような具体的な例を探しています。

  • 誤解を招くが、一般的なアドバイス
  • 裏目に出たアドバイス
  • ただ、かなり単純に、間違っているアドバイス

これは、何度も何度も流通し、顧客のセキュリティを損なうものです。

appsecprofessional-educationphishing
8
Matt H

銀行は何年もの間デビットカードの使用を求めてきましたが、詐欺的な取引後の払い戻しに関する方針は、幅広く変動します。クレジットカードの明細書に詐欺的なトランザクションが存在することは1つのことですが、当座預金口座から実際の現金が紛失し、家賃を支払うことができないのはかなり別のことです。私は、MasterCard/Visaロゴのない古き良きATMカードを使用することを常に勧めています。少なくともそのようにPINがあなたを守っています。

ログイン時の「セキュリティの絵」が偽の銀行からユーザーを保護するという考えは完全に裏付けられており、以前のFFIEC標準の名残です。

銀行は、SecurIDやVascoなどのセキュリティトークンを使用するとマルウェアベースの攻撃を防ぐことができると顧客に伝えていますが、実際には、マルウェアはコンピューター上に置かれ、OTPへの入力を待機し、待機中の攻撃者にリアルタイムで送信します。保護はありません。

最後に、ログインのセキュリティは重要ですが、それだけでは不十分です。ほとんどのオンラインバンキング詐欺はマルウェアに追跡可能であり、最悪の事態はそこにとどまり、ユーザーがログインするのを待ってから、要求されていないトランザクションを送信します。ログインは必要なだけ安全にすることができますが、トランザクション自体を保護しない限り、依然として脆弱です。

最後にもう1つ、銀行はまだSecurIDトークンが完全に安全であることをユーザーに伝えています。これはおそらく誤りです。 3月の攻撃者がすべてのシードで成功した場合、トークンは基本的に価値がありません。彼らが種子のサブセットのみで取り除いた場合、銀行は彼らの種子が盗まれたかどうかを確実に調べる必要があります。銀行がこの点について何らかの方法で申し立てを行うことができるとはまだ聞いていないので、この夏より前に製造されたSecurIDを所有していると思います。これは、Vascoやその他の人には適用されず、RSAにのみ適用されます。

多くの銀行は、少なくともセキュリティチームの外では、これらの点を単に理解していません。そのため、カスタマーサービス担当者からの実際のアドバイスは、これらの点で間違っていることがよくあります。銀行のせいだとは必ずしも思いません。すべてのカスタマーサービス担当者がデータセキュリティの第一人者であると期待することはできませんが、銀行がカスタマーサービスからの悪いアドバイスが問題にならないように十分に安全なシステムを提供する責任があることを意味します。

5
Steve Dispensa

「Verified by VISA」および「MasterCard SecureCode」オンライン認証システムのトピックについて、マードックとアンダーソンの その記事 をご覧ください。この記事では、そのシステムにいくつかの問題があることを指摘しています。その中には、ユーザーがWebページに個人の詳細を入力するように訓練するiframeの使用と、ユーザーが確認できない出所があります。

5
Thomas Pornin

ただ、かなり単純に、間違っているアドバイス

Westpac は、JavaまたはJavascriptがキーボードの画像をポイントアンドクリックして、(大文字の英数字、正確に6文字のパスワードは、実際のキーボードを使用するよりも安全です。ショルダーサーフィンは他の銀行の顧客にのみ発生するものであるように見えます。オーストラリアの視覚障害者はADAの保護を享受していません。

彼らの主張は「実際のフィッシングキャンペーンが4年以上前に明らかにしたトロイの木馬正確にそれ。

しかし、いくつかの希望があります:12年前 [〜#〜] nab [〜#〜] は同じ主張をしていましたが、彼らは賢明であり、現在は同じパスワード入力メカニズムを使用していますこれはブラウザに組み込まれており、あらゆる正常な組織で使用されています。

4
mlp

  1. もちろん、パスワードの強度に関するアドバイスがあります。よく聞かれるのは、奇妙な記号を使ったパスワードの要求です。その主張が効果的に伝えられる唯一のものである場合( 長さに関する重要な部分 が省略されている場合など)、顧客は最終的にpassword1およびp@ssw0rd最も一般的な2つのパスワード。または、パスワードが思い出せないため、キーボードの下の付箋にパスワードが書き込まれるというおかしな事件で終わります。

  2. 銀行は、ほとんどの場合、新しいクレジットカード/デビットカードのユーザーがこの簡単なアドバイスを知っていることを確認することにひどいです。オンラインバンキングを行ったり、クレジットカード番号をパブリックwifiホットスポット。 (平均的な顧客の場合、この単純なルールにより、個人のセキュリティと意識が大幅に向上します。)

  3. 企業がクレジットカード取引にマシンを使用しているからといって、必ずしも安全であるとは限らないことを顧客に伝える必要があります。中小企業に警戒するように伝えます-悪意があるからではなく、彼らが支払いセキュリティの分野にいないためです。また、たとえば、セキュリティに精通していない小さなオンライン小売業者は、PaypalまたはGoogle Checkoutを使用して取引を処理することができます。

2
Joseph Hansen

確認番号は、オンライン取引でクレジットカードの所有者を確認し、詐欺を防止するために使用されます。銀行によると...

enter image description here

私の意見では、それはPINのようなものである必要があります(そしてそれはオンラインPINのようなものです)。

なぜ、どのようにCVVが使用されるのですか?

1
StupidOne