Un usuario de Android abre su aplicación del banco. Si el malware Ginp se ha colado en su móvil, detectará ese movimiento y sobrepondrá una pantalla calcada a la del banco por encima de la app legítima, pero obviamente con una finalidad distinta. Primero pedirá las credenciales para acceder y después la tarjeta, con su fecha de caducidad y el número CVV. El usuario creerá que está usando la app del banco, pero estará dando sus datos a los ladrones.
|
etiquetas: virus , troyano , app , bancos
Pero menuda cagada fue de la noche a la mañana solo permitir por smartphone.
El último colofón final es lo de la APP por cojones.
Desde que cambiaron la web hace un par de años creo, han ido a peor (la web anterior era muy clara y fácil de usar)
Si dices que ya no está, probaré de nuevo...
1) ios es mucho más limitado, muchas cosas no se pueden hacer ni aunque quieras
2) para publicar aplicaciones en ios hay que pagar una cuota anual. Si publicas un malware y te descubren te bloquean la cuenta y pierdes el dinero. Varias veces les han colado aplicaciones maliciosas en la tienda de Apple pero en cuanto se descubre pierden el dinero.
3) los usuarios no pueden instalar nada que no esté aprobado por apple aunque quieran. En android existe la posiblidad y mucha gente es tan idiota que instala porquerías sin preocuparse de donde vienen. Si sólo usaran la tienda oficial la mayoría de estas cosas no pasarían.
Es una normativa europea. Pronto va a ser así en toda la banca electrónica.
¿En tu caso no puedes hacer este tipo de operaciones por la web; pero quizá sí por aplicación móvil?
*Fe de erratas en mi mensaje anterior: no era "pesca" sino "pereza", claramente.
Sí, me pierdo esas bonitas apps para ver películas en streaming pero es que no confío nada de nada en ellas...
He contactado con ellos y ni me han respondido.
- Soporte multiventana
- Apps en funcionamiento en segundo plano
- Enviar archivos por bluetooth
- Posibilidad de usar tarjetas SD de forma nativa y elegir donde guardar algo
- 5G
- Cambiar aplicaciones por defecto
- soporte para pantallas flexibles
- Audio HiFi y jack 3.5
- Posibilidad de elegir entre codecs de audio bluetooth
- Posibilidad de cambiar el launcher/gestor de ventanas
- Youtube en segundo plano
- Radio FM
- 15GB de almacenamiento online
- Google Assistant
- Tiendas de aplicaciones de terceros
- HDR+
- posibilidad de cambiar el kernel o roms completas incluso si tu dispositivo ya no tiene soporte
- Dex o modo escritorio enchufando el movil a cualquier pc/mac
- Poder elegir el tiempo en el que quieras que se repita una alarma si la pospones (en ios13 son si o si 9 minutos)
- Poder elegir modo oscuro solo en determinadas Apps
y muchas cosas mas
No tiene por qué ser notificación o SMS. Podría ser una segunda tarjeta de coordenadas, una llamada, un email, una segunda clave secreta, etc. No tienen la más mínima necesidad de que sea la app.
La diferencia es: con Android si puedes, con iOS no. Para todo lo demas, una Atari.
Buena tarde
De todos modos, una revisión en profundidad ya le podrían dar a la aplicación.
En mi caso y por trabajo, el mio lo uso como gestor de maquinas virtuales, virtualizando diferentes sistemas operativos utilizado cualquier hardware (teclado, raton o usb ethernet) que tengan por ahi, sin necesidad de preocuparme por si tiene o no una manzanita.
Ahora bien, si para el uso que le das (y que claramente has indicado viendo lo que "no usas" que es casi todo lo medio-avanzado), con un movil gama baja de 80€ en android, lo harias igual y con lo ahorrado podrias pegarte unas buenas vacaciones, no obstante, alla cada uno lo que haga con su dinero.
"...Una vez que el usuario concede el privilegio del Servicio de Accesibilidad solicitado, Ginp comienza otorgándose permisos adicionales, como los permisos (dinámicos) necesarios para poder enviar mensajes y hacer llamadas, sin requerir ninguna acción adicional de la víctima. Cuando finaliza, el bot es funcional y está listo para recibir comandos y realizar ataques de superposición..."
Fuente: www.threatfabric.com/blogs/ginp_a_malware_patchwork_borrowing_from_anu
La nueva normativa de la UE no obliga a usar app, como bien dijo #49 de una forma más resumida.
Lo que se obliga es a usar 2 sistemas de autentificación, a elegir entre 3.
También se suele llamar autentificación en 2 pasos.
Según los expertos en seguridad, el mejor sistema de seguridad es el que se basa en 3 factores: algo que tienes, algo que sabes y algo que eres.
El algo que tienes suele reducirse a un teléfono móvil o bien a un DNI electrónico. La idea es que solamente quien tenga ese elemento, un elemento personal e intransferible, pueda hacer la operación... aunque en teoría te pueden robar eso que tienes y por este motivo son necesarios más sistemas. La verdad, desde mi punto de vista, el móvil puede ser atacado (virus / malware) sin necesidad de tenerlo físicamente... es decir, sin que te enteres. Sin embargo, el DNI electrónico bien hecho es más seguro que el móvil ya que sería necesario tenerlo físicamente (que te lo roben) y en muchos casos que alguien te lo quite es más difícil y te enteras (denuncias, anulas). Pero existiendo al menos otro factor, la posible debilidad del móvil se relativiza un poco y de momento se considera aceptable.
El algo que sabes se suele reducir a una contraseña o varias. Alguien te puede quitar el móvil o el DNIe pero si no sabe las contraseñas le sirve de poco. Lo malo es que, como dije antes, un virus en tu móvil podría leer tanto los SMS que te llegan como la contraseña que escribes... Por esto yo recomendaría usar una web HTTPS por un lado y el móvil por otro lado.
De esta forma el ataque es mucho más complicado porque requiere atacar el ordenador que usas y también el móvil....
Si se hace todo con el móvil, no solamente no obliga a ello la UE sino que es más peligroso.
Aunque no todo es tan bonito... mucha gente no tiene ordenador o no tiene un segundo dispositivo aparte del móvil, como puede ser un tablet. Y, aparte, en lugares sin cobertura de móvil, como algunos pueblos, se dificulta hacer estas operaciones, ya que puedes tener ADSL en la casa del pueblo pero no cobertura y si no recibes el SMS no puedes hacer la operación... pero si te desplazas a un lugar cercano a tu casa del pueblo que tenga cobertura entonces es complicado tener dos dispositivos ambos con comunicaciones.
El algo que eres se suele reducir a técnicas biométricas como lectura de huella dactilar, lectura del iris, reconocimiento de caras, etc. Aunque algunos móviles ya incorporan alguna técnica de estas, no es algo que tenga el gran público y por eso este tercer factor o método es el menos usado, el sacrificado ya que como dije la obligación es usar dos y, entonces, se usan los dos primeros y no este tercero.
Por tanto, en la práctica se usa el móvil y contraseñas (los bancos suelen tener 2: una para acceder y poder ver información únicamente, y otra para operar / firmar, es decir, transferencias, contratos y similares... aunque para compras se suele sustituir la contraseña por el número de tarjeta con su clave de 3 cifras). El móvil se usa para comprobar que es un número (que teóricamente solamente puede acceder una persona) y se usa un SMS, pero no un único SMS de hace 3 meses para múltiples operaciones, sino un SMS para cada operación con el que confirmas una operación concreta.
Por cierto, algunos bancos usaban una tarjeta de claves con coordenadas... a medio camino entre el "algo que tienes" y el "algo que sabes". La ventaja es que no se ponía la misma clave en cada operación... y, por tanto, si alguien veía la clave que usaste una vez no podía usarla para otra operación diferente.
Estoy con #71, y soy usuario de Apple.
Le dije que hasta ahora no,pero en cuanto la gente lo empezase a usar en masa no tardarian en aparecer los primeros problemas y justo hoy leo esta noticia,me dan ganas de ir al bco y ponerle la informacion en la cara para ver como se queda.
Sin embargo el método de Apple de cobrar a los desarrolladores disuade a algunos de hacer "maldades". Y no es que no las hagan de todas formas, sino que se cuidan más y las suelen esconder mejor.
Respecto a mis electrodomesticos, si, procuro que sean compatibles con lo demas sin gastarme un dineral y luego ciertas tareas automatizadas con IFTTT. Respecto a las TV, lo siento, pero no pueden "virtualizar" (ni los monitores de apple), pero si correr dispositivos, descargas y Kodi gracias a una raspberry pi (hardware libre) de 25€ que tengo conectada a una de ellas que va con linux (tambien libre).
Respecto a lo que tu despectivamente consideras frikadas, es lo mas basico del mundo: lo que para ti es "auricular/altavoz compatible con Apple" para el resto del mundo es "audio mediocre". Te diria de probar LDAC o APTX HD , pero desgraciadamente tu dispositivo solo tira con AAC. El mio (y es android) con todos los mencionados (incluido el tuyo) y hasta los antiguos SBC y aptx clasico. Si esto te ha sonado a chino, enhorabuena, eres usuario basico de audio... con que "suene" ya vale.
Y me reitero, tu uso, es 100% seguro que como el de la mayoria de usuarios de iphone, es basico: instagram, navegacion,ver algun video, facebook, sacar alguna foto y puede que algo de musica y correo, lo haces con un android de 80€ (o uno de hace 5 años) sin problema.
Buenos dias!
Y de lavadoras o cualquier electrodoméstico... puedo repararlos fuera de la casa oficial sin perder garantia... Otra de las grandes libertades de Apple ¿verdad? disfruta de tu smartphone gama alta para ver videos de youtube (creado con software libre también), facebook (tambien creado con software libre) y tus busquedas con google (que tambien tiene software libre)... .tareas irealizables por cualquier otro telefono desde hace años...
ing.ingdirect.es/app-login/
¿Hay algúna otra forma de acceder que yo no sepa?