235 meneos
2533 clics
![Expuestos al SIM swapping: hora de subir el listón de seguridad al conceder duplicados de tarjeta](cache/36/da/media_thumb-link-3594977.jpeg?1639329727)
Expuestos al SIM swapping: hora de subir el listón de seguridad al conceder duplicados de tarjeta
El empleado de tienda de operadora, el eslabón más débil ante el SIM swapping. Una vez el usurpador de identidad tiene acceso a una SIM asociada a nuestro teléfono móvil, y ya conoce nuestro DNI, tiene vía libre para acceder a nuestra banca digital pidiendo el restablecimiento de la contraseña, vía SMS. El SMS como principio y como final. [..] Mejores herramientas que los SMS o una doble verificación humana para pedir un duplicado
|
comentarios cerrados
Si éste decide que con sus tarjetas se puedan gastar 20€ sin poner ningún tipo de PIN ese es un riesgo que está asumiendo el banco, porque considera que los riesgos que asume le compensan con las comisiones de más que aspira a conseguir al facilitar el servicio.
Y si el banco decide que una contraseña y un SMS es suficiente para aprobar una transferencia a otra cuenta ese es un riesgo que está asumiendo el banco, porque considera que los ahorros en oficinas y trato personal con el cliente le supone suficientes ahorros para asumir ese riesgo. Y por que cree que facilitando de esa forma las operaciones conseguirá más clientes y podrá obtener beneficios de ello.
Todo eso son riesgos que asume el banco. Y es que éste tiene una deuda contraída con el cliente que le ha entregado dinero y solo puede reducirse esa deuda entregando dinero a ese mismo cliente a su petición o traspasándolo a otra cuenta siempre que el cliente lo haya solicitado.
Alguien que ha clonado una SIM no es el cliente, por lo que el banco no puede reducirse su deuda con el cliente por llevar a cabo operaciones ordenadas por quien haya clonado una SIM y robado credenciales.
Si éste decide que con sus tarjetas se puedan gastar 20€ sin poner ningún tipo de PIN ese es un riesgo que está asumiendo el banco, porque considera que los riesgos que asume le compensan con las comisiones de más que aspira a conseguir al facilitar el servicio.
Y si el banco decide que una contraseña y un SMS es suficiente para aprobar una transferencia a otra cuenta ese es un riesgo que está asumiendo el banco, porque considera que los ahorros en oficinas y trato personal con el cliente le supone suficientes ahorros para asumir ese riesgo. Y por que cree que facilitando de esa forma las operaciones conseguirá más clientes y podrá obtener beneficios de ello.
Todo eso son riesgos que asume el banco. Y es que éste tiene una deuda contraída con el cliente que le ha entregado dinero y solo puede reducirse esa deuda entregando dinero a ese mismo cliente a su petición o traspasándolo a otra cuenta siempre que el cliente lo haya solicitado.
Alguien que ha clonado una SIM no es el cliente, por lo que el banco no puede reducirse su deuda con el cliente por llevar a cabo operaciones ordenadas por quien haya clonado una SIM y robado credenciales.
A mi me duplicaron la tarjeta antes de las NFC y se dedicaron a comprar cosas en un Walmart de Florida, fueron dos mañanas perdidas entre banco, comisaría, banco... Para recuperar los 500-600€ que les dio tiempo a estafar
El DNIe es una gran idea infrautilizada
Los datos biométricos no son revocables. No te puedes cambiar la huella del dedo ni te puedes cambiar la cara (bueno, poder puedes, pero te sale caro y/o duele).
Un pin puedes cambiarlo. Una huella digital no.
Era una estafa sofisticada, eso sí.
identificacióncontraseña biométrica tampoco sería buena idea, pero eso es otro tema...#21 Llego tarde: ¡Es lo que quería decir!
Era colombiano.
No quise saber más.
La idea no debe ser no llegar a juicio sino que lo que ocurra sea justo, y si no lo es pues llegar a juicio para que lo sea.
NFC.
Además puedes alojar certificados electrónicos (FNMT, Administración pública, etc).
Compatible con OTP, etc,etc.
La gracia de un token es que es único y no se puede extraer su clave privada.
Uso un pincho USB Fido U2F habitualmente, pero no es de Yubiko
El de inglaterra te pide la tarjeta SIM y ademas un codigo aparte, personal para todas las transferencias.
www.xataka.com/seguridad/cinco-minutos-plastilina-y-un-molde-con-eso-b
El acceso al certificado es con PIN, con lo que es doble factor (algo que tienes y algo que sabes)
Para poder cambiar la contraseña de transferencias tienes que tener al enemigo en casa.
Y es que los casos he leído yo, el número de teléfono desde el que se realizaban las llamadas era el oficial del Banco.
#15 Deberia haber una aplicacion de Sofware libre, para operar con los bancos. Asi no tienes una aplicacion para cada banco. Luego para cada banco se guardan unos driver para el protocolo y los certificados y contraseñas necesarios.
Además podria ser auditada por si tiene algun fallo o espia. Tambien podria servir para centralizar un registro de los movimientos y hacer backup de la info de la cuenta o tener avisos, etc.
Se les dice que has estado todo el día durmiendo y te has levantado sin esa pasta.
Uso también Evo pero no me acuerdo cómo funciona ahí el cambio de la 2a contraseña (ya que no tienen oficina física)
El banco devolvió la parte que cubría el seguro y la otra parte no la devolvió alegando que deja muy claro en las condiciones que nunca debes dar el código que llega por SMS a un empleado, aunque lo solicite.
Ha habido denuncia, pero tras más de dos años no ha sido resuelta (pandemia por en medio)
El fraude fue más complejo y no hubo sim swapping) fue un cambio en el archivo hosts para redirigir a una web del banco fake en la que aparecían unas transferencias que no se habían hecho, lo que provocó el pánico del empleado que llamó al número fake que aparecía en la página, en la que le dijeron que iban a retroceder las transferencias, y que le iba a llegar unos SMS para confirmar los retrocesos y que se los cantara al empleado del banco del teléfono para ejecutarlos.
Realmente fue en ese momento cuando se realizó el robo. El empleado pensaba que le estaban devolviendo el dinero (en el SMS aparecía el importe), pero ahí se lo estaban robando.
Ingeniería social y un bot que se encarga de cambiar archivos hosts a tutiplen. Lo tienen hasta automatizado.
Te agradecería que cuando se resuelva comentes la resolución, me interesa conocer el desenlace (respondiendo a este comentario si aún está abierto o bien en una nota citando mi apodo).
Lo que por ahora tenemos es lo mismo que teníamos antes, un banco que prefiere que el robo que han sufrido lo asuma el cliente.
En serio, suena a que el pasaporte tiene una anotación especial diciendo que no tiene huellas y que no se pueden comprobar
Bueno, pues en el primer paso: te instalas la app y accedes con tu usuario y contraseña, es donde entra el SMS, le das a perdí la contraseña y el banco te manda una por SMS para que la puedas cambiar.
De la misma forma que el cliente no sabe si el banco está compinchado con el ladrón.
Corresponde al banco o a los cuerpos policiales o a la justicia el demostrar con pruebas que el cliente es el ladrón o está compinchado con éstos. No se le puede presuponer ese delito solo porque al banco no le venga bien asumir el robo que ha sufrido.
Y me parece normal que el banco no se haga cargo
A mí me parece normal que el banco no se quiera hacer cargo y prefiera que lo asuma el cliente, pero eso no significa que no deba asumirlo.
Por ahora nadie ha aportado ninguna sentencia judicial en la que se haya dictaminado que debe asumirlo el cliente, tenemos por un lado unas anécdotas de gente que posiblemente haya aceptado la posición del banco sin ir a juicio y otro caso en el que la denuncia está puesta pero aún no resuelta.
Si hubiesen pedido un préstamo rápido o contratado líneas móviles para sacar iPhone subvencionado y revender acabas teniendo que it a juicio.
Por ejemplo, si estás dormido o inconsciente, se puede aprovechar de tu huella, aunque eso requiere estar en una situación muy particular.
En todo caso, lo del SMS la verdad es que tiene lo suyo y debería mejorar.
Que tenga que ir el titular a la oficina y mostrar su DNI y firma al personal de esa oficina es suficiente para que un ladrón no pueda operar con datos de la víctima.
No hacerlo le supone ahorros al banco y evita molestias al titular, son riesgos que asume el banco en cuanto a la seguridad de su capital. Y es que si el banco decide que el cliente debe presentarse a la oficina y mostrar su DNI y firmar para retirar fondos está en todo su derecho de hacerlo y el cliente no puede negarse. Si el banco decide no hacerlo es porque no le interesa al banco.
Ah!, tampoco trae el numero ni la fecha de caducidad impresos en la tarjeta