電子メール/ SMSを介した銀行アラートの送信に関するセキュリティの問題は何ですか？

攻撃者にもよりますが、おそらくトランザクションのメタデータについてはあまり気にしません。

あなたが注目を集めているターゲットであるため、誰かがあなたを明確にターゲットにしている場合、彼らは偵察の一部としてこの情報を必要とするかもしれません。

あなたがメールを読んでいる攻撃者を心配する必要がある注目度の高いターゲットではないと想定すると、メールがクリアテキストで送信されることをあまり心配する必要はありません。あなたの銀行があなたの個人情報や信任状を送っていないと仮定します。これはセキュリティよりもプライバシーの問題です。

攻撃者は、ワンタイムパスワード（OTP）の傍受に関心を持っている可能性があります。

メールを選択した場合、攻撃者がメールアカウントをハッキングすると、「Xバンクからゴミ箱にメッセージを移動する」というルールとともに、メールアカウントから所有者のアカウントへの転送が設定される可能性があります。彼らはあなたに気づかれることなくその電子メールアドレスに送信されるワンタイムパスワードを得るためにこれを行います。

アカウント間でパスワードを再利用しないでください。メールサービスでサポートされている場合は、多要素認証を設定してください。

SIMスワッピングは、よりまれですが、同じ脅威をもたらします

銀行との通信に携帯電話を使用する場合、攻撃者は携帯電話の番号を制御する必要があります。物理デバイスを盗むことは同じではないことに注意してください。その場合、そのSIM /デバイスにメッセージが送信されないようにキャリアを設定できます。 SIMスワッピングは、攻撃者が携帯電話会社にメッセージを新しいSIM /デバイスに転送するように説得する手法です。この攻撃の詳細は、この質問の範囲外です。その詳細は here です。

プッシュ通知は他の2つのように転送できませんが、OTPには使用されません

プッシュ通知は、ワンタイムパスワードには使用されません（読み取り：使用すべきではありません）。これは、デバイスがすでに信頼されていることを前提としているため、目的が達成されないためです。

最も懸念すべき攻撃ベクトルはフィッシングです

どちらを決定するにしても、他の形式の通知を信頼しないことが重要です（つまり、電子メール通知を購読している場合は、テキスト通知を信頼せず、その逆も同様です）。

また、それぞれが異なる方法でフィッシングの影響を受けやすくなっています。銀行になりすました変なアドレスからメールが送信されます。テキストメッセージと同じです。プッシュ通知は、銀行のアプリになりすましている別のアプリから送信される場合があります。これらのフィッシング手段はそれぞれ、特定の予防策を講じる必要があります。

• リンクをクリックしたり、メールのリモートコンテンツをダウンロードしたりする前に、必ず送信者のアドレスを確認してください
• メールまたはテキストを介して、銀行とのやり取りで資格情報または個人情報を返信しないでください（銀行は、何らかの理由でこれを行うように求めるべきではありません）
• 信頼できないアプリをダウンロードしない
• 銀行にログインしている間、信頼できないWebサイトにアクセスしないでください
• フィッシングを研究し、それを防止する方法は、ほとんどの場合、慎重である必要があるためです。

3つすべてに脆弱性があります

あなたはすでにこれを知っているようですが、完璧な方法はなく、それぞれに独自のリスクがあります。どちらが最も快適であるかを決定し、フィッシング攻撃に対して警戒するのはあなた次第です。