Frage:
Mein Bank-Support hat mich nur nach meinen Online-Banking-Anmeldeinformationen gefragt
sysfiend
2017-08-09 14:10:06 UTC
view on stackexchange narkive permalink

Wie der Titel schon sagt, wurde ich nach meinem Online-Banking-Passwort gefragt, während ich mich mit einer realen Person in Verbindung setzte. Dies ist etwas, was ich niemals tun würde und zu wissen, dass der Anruf aufgezeichnet wurde (zur weiteren Verbesserung des Bots, mit dem ich gesprochen habe ), macht es noch schlimmer.

Sicher, Danach habe ich aufgelegt und bin mir ziemlich sicher, dass es eine Verletzung der Privatsphäre ist, da Sie nach privaten Daten gefragt werden und es auch überhaupt nicht verschlüsselt ist.

  • Wurde schon einmal jemand danach gefragt ?
  • Ist das eine normale Praxis?
  • Nachdem der Bot meine ID-Nummer gesagt hatte, bezeichnete er mich als "Mr. my_last_name ". Ich denke, es ist eine legitime Telefonnummer, aber könnten sie gehackt worden sein und die Support-Nummer entführt?
  • Soll ich Maßnahmen ergreifen?
Haben Sie den Anruf initiiert oder haben sie?Ist die Telefonnummer echt?Normalerweise haben Sie unterschiedliche Anmeldeinformationen für Online- und Telefonbanking. Dies scheint also definitiv ein Phishing-Versuch zu sein.
Ich habe eine Telefonnummer angerufen, die auf ihrer Website aufgeführt ist
Haben Sie überprüft, ob Sie die richtige Nummer angerufen haben und ob es sich um die richtige Website handelt?Ich weiß nicht, ob dies bei Support-Nummern der Fall ist, aber Phisher verwenden bekanntermaßen URLs, die Rechtschreibfehler enthalten, um Anmeldeinformationen abzurufen.Wenn es sich um die legitime Telefonnummer ihrer Bank handelt, scheint dies nur eine (sehr) schlechte Politik auf der Seite der Bank zu sein und kein Phishing-Versuch.Eine Telefonnummer kann von einem Angreifer kompromittiert und verwendet werden, aber dies ist nichts für Ihr alltägliches Skriptkind.
@Tom ja, ich habe alles überprüft und es war in Ordnung.Die Telefonnummer war echt und die Seite, die ich besuchte, auch.Ich würde sagen, es ist eine schreckliche Politik.
Das ist normal.Viele Banken tun dies.Wenn Sie ihre Support-Leitung anrufen, müssen sie Sie irgendwie authentifizieren.Nach deinen Creds zu fragen ist eine Möglichkeit.Ob es ein guter Weg ist, ist eine ganz andere Frage, aber es ist sicherlich ein beliebter Weg.
Ich würde nicht sagen, dass dies ein beliebter Weg ist.Wie bereits erwähnt, ** WENN ** Sie telefonisch nach Anmeldeinformationen gefragt werden, sollte dies nur für bestimmte Anmeldeinformationen im Zusammenhang mit dem Telefonbanking gelten.Ich habe so etwas noch nie erlebt und mache seit 15 Jahren Online-Banking bei mehreren Banken.Vielleicht ist das von Land zu Land unterschiedlich, aber es wäre eine Neuigkeit für mich.
Ich kann Bankgeschäfte per Telefon nutzen.Um mich zu authentifizieren, habe ich ein Telefonbanking-Passwort - anders als das Online-Passwort - das ich ihnen mitteilen muss.Gibt es eine Chance, dass das passiert ist?
@tom Obwohl einige Banken tatsächlich separate Authentifizierungsmechanismen für das Telefonbanking haben, sehe ich keinen besonderen Grund (aus Sicherheitsgründen) für diese Trennung.Nach meiner Erfahrung werden Telefonbanking-Creds im Allgemeinen durch den Eingabemechanismus eingeschränkt, wodurch sie tendenziell etwas schwächer als Web-Apps sind.Bankgeschäfte, aber das ist keine absolute Voraussetzung.
@RоryMcCune: Meine persönliche Theorie war, dass Sie für das Online-Banking normalerweise einen zweiten Faktor benötigen (z. B. einen an Ihr Telefon gesendeten Token), der beim Bankgeschäft über das Telefon selbst ziemlich unpraktisch wäre, während das Telefonbanking nur einen benötigt (Ihre Anmeldedaten)..Aus diesem Grund sind die Passwortrichtlinien für das Telefonbanking meiner Erfahrung nach viel strenger als für das Online-Banking.Aber das ist reine Spekulation auf meiner Seite.
Hat es einfach nach Ihrer ID oder auch nach Ihrem Passwort gefragt?Ersteres ist relativ harmlos, letzteres ist eine schreckliche Politik.
"Nachdem der Bot meine ID-Nummer gesagt hatte, bezeichnete er mich als 'Mr. my_last_name'." Bin ich der einzige, der hier bereits ein Problem sieht?Ich meine, das bedeutet, dass ich Wissen über Kontoinhaber erlangen könnte, indem ich zufällige Kontonummern eingebe.Ich denke, dass die Unternehmensrichtlinien ziemlich falsch sind.
Haben Sie vielleicht kurz vor Ihrem Anruf einen Anruf von Ihrer Bank erhalten?Es gibt einen bekannten "Line Open" -Betrug, bei dem jemand, der vorgibt, Ihre Bank zu sein, über Ihr Festnetz anruft und Sie dazu ermutigt, über die offizielle Telefonnummer von der Bank-Website zurückzurufen.Sie legen das Ende des Anrufs nicht auf und halten die Leitung offen. Wenn Sie also "Ihre Bank anrufen", setzen sie den Vorwand fort, weil Sie ihren Anruf tatsächlich nie verlassen haben.Siehe [diesen Blog] (https://www.herts.police.uk/advice/crime_prevention/protect_your_money/scams_targeting_older_people/scam_police_and_bank_callers.aspx)
In allen Banken, die ich jemals benutzt habe, unterscheidet sich ein solches Passwort immer von jedem Online-Banking-Passwort (auch technisch gesehen sind Telefonpasswörter offensichtlich nur auf Ziffern beschränkt).Ja, dieses Setup ist sehr verbreitet, hat aber nichts mit Ihren Online-Anmeldeinformationen zu tun.
Sagen Sie einfach ein zufälliges Wort, um den Bot zu verfehlen, und lassen Sie sich zu einer Person durchstellen, die Sie auf die bekanntere Weise authentifiziert
Acht antworten:
Rory McCune
2017-08-09 18:57:06 UTC
view on stackexchange narkive permalink

Angenommen, Sie haben sie unter einer veröffentlichten Nummer angerufen, würde ich sagen, dass dies ein interaktives Voice-Response-System (IVR) ist, das in der Bankenwelt weit verbreitet ist.

Das Konzept besteht darin, dass das System Ihre Authentifizierungsinformationen erfasst, bevor Sie an einen Contact Center-Agenten weitergeleitet werden. Aus Sicherheitsgründen hat dies den Vorteil, dass der Agent im Call Center Sie nicht zur Authentifizierung auffordern muss, bevor Sie Ihr Konto besprechen.

Bei korrekter Implementierung sollte dies nicht unsicherer sein als Geben Sie Ihr Passwort in eine Website ein. Es gibt ein automatisiertes System, das die Sprachdaten verarbeitet und diese entsprechend speichern / protokollieren sollte.

Natürlich besteht, wie Sie darauf hinweisen, die Gefahr des Abhörens des Telefons, aber wenn Sie davon ausgehen, dass Ihre Telefonleitung abgehört wird Jede Form des Telefonbankings ist unsicher, da sie Sie irgendwie authentifizieren müssen, um Ihr Konto mit Ihnen besprechen zu können.

BEARBEITEN: Um weitere Details hinzuzufügen Dann lassen Sie sie in Kommentaren verstreut, die gelöscht werden könnten.

Grundsätzlich müssen Banken Sie irgendwie authentifizieren, unabhängig davon, über welchen Kanal (z. B. Web, Telefon, Filiale) Sie sie kontaktieren, und es gibt Kompromisse zu berücksichtigen.

Einerseits ist es nützlich, dedizierte Anmeldeinformationen pro Kanal zu haben, um das Risiko von Kompromissen zu verringern und zu vermeiden, dass die Meldung "Sagen Sie den Leuten nicht Ihr Webkennwort" verwischt wird Benutzer mit mehr zu verwaltenden Anmeldeinformationen und aller Wahrscheinlichkeit nach werden viele Kennwörter zurückgesetzt, wenn Benutzer nur selten einen bestimmten Kanal verwenden (mit all dem Vuln Fehler, die häufige Zurücksetzungen anziehen)

Aus den hier bereitgestellten Informationen geht hervor, dass die hier verwendeten Informationen darin bestehen, die Anmeldeinformationen für den Web- und den Telefonkanal zu kombinieren und ein automatisiertes IVR-System auf dem Telefonkanal zu verwenden, um zu vermeiden, dass Contact Center-Agenten Anmeldeinformationen erhalten . Der Vorteil hierbei ist ein einzelner Satz von Creds, damit der Benutzer sie nicht vergisst. Der Nachteil ist das Szenario, in dem Banknachrichten "Geben Sie Ihren Leuten kein Passwort" zu Problemen bei der Verwendung dieses Systems führen.

In Bezug auf die IVR-Systemsicherheit ist dies im Wesentlichen wie jedes andere System, das Daten verarbeitet. Es muss angemessen gesichert werden, damit Benutzeranmeldeinformationen nicht angezeigt werden, nicht anders als der Webkanal.

Offensichtlich könnte ein System wie Hardware (nicht SMS) 2FA in diesem Szenario gut funktionieren, da numerische Codes leicht übergeben werden können zu IVR-Systemen, aber das hat seine eigenen Kompromisse in Bezug auf Kosten und Benutzererfahrung.

Kommentare sind nicht für eine ausführliche Diskussion gedacht.Diese Konversation wurde [in den Chat verschoben] (http://chat.stackexchange.com/rooms/63620/discussion-on-answer-by-rry-mccune-my-bank-support-just-asked-me-for-my-online).
Wie sprechen Sie Ihr Passwort für das automatisierte System aus?Diese Dinge können nicht einmal Wörter und jetzt Passwörter verstehen?LOL.
Dies spricht nicht die Tatsache an, dass der Anruf aufgezeichnet wurde.
Sie implizieren, dass das Telefon und die Webkanäle grundsätzlich identisch sind, aber es ist immer noch sehr wichtig zu betonen, dass es bei einem Standard-Sprachanruf keine wirklich zugängliche Methode gibt, um ihn durchgehend zu sichern.Im Web gibt es SSL, mit dem die End-to-End-Verschlüsselung automatisch eingerichtet werden kann. Hier sieht der Benutzer Symbole und kann die Zertifikatdetails anzeigen.Beim Telefonbanking ist fast alles offen und kann von jemandem in der Mitte abgefangen werden.
@BrianMcCutchon-Banken zeichnen den IVR-Teil von Anrufen normalerweise nicht auf, genau aus dem Grund, dass die Anmeldeinformationen nicht unangemessen protokolliert werden
@Peter und im traditionellen Festnetz haben wir keine Malware, fehlende Patches und eine Vielzahl anderer Risiken.Ich habe nicht wirklich gesagt, dass sie gleich sind, aber dass sie sich in Bezug auf die Tatsache ähnlich sind, dass beide Kanäle eine Authentifizierung erfordern.Im Fall eines allgemeinen Bankkunden (der kein Smartphone verwendet) würde ich tatsächlich vorschlagen, dass das Risiko, dass Anmeldeinformationen für das Telefonbanking abgefangen werden, geringer ist als das Risiko, dass Web-Channel-Creds abgefangen werden, da Malware auf die PCs zugreift, die online zugreifenBankenseiten.
"Sehr geehrter Herr * Maus *, geben Sie bitte den Code ein, den wir gerade per SMS an Ihre registrierte Handynummer gesendet haben, um mit einem Vertreter zu sprechen."Einfach und sicher.Viele Banken implementieren eine stärkere 2FA, bei der ein schwächerer Faktor für Anfragen verwendet wird, der stärkere für die Bestellung von Transaktionen
@usr-local-ΕΨΗΕΛΩΝ Die SMS-Authentifizierung ist nicht wirklich sicher, da GSM anfällig für Identitätswechselangriffe ist.
@StockB Ich habe "hübsch" vergessen, bevor ich sicher war.Mein Fehler.Der Identitätswechsel ist in unserem Aktivierungsszenario kein Problem.Abhören ist.Sie müssen jedoch sowohl das gsm net als auch das öffentliche Callcenter der Bank steuern.Immernoch hübsch?"Hinweis Ich habe nie "stark" sicher gemeint.
@StockB ersetzt SMS durch "den Code in Ihrer Authy-App".Andererseits ist der Identitätswechsel in diesem Anwendungsfall kein Problem, denn wenn Sie eine gefälschte SMS erhalten, ist der schlimmste Fall, dass Sie den Code in dieser gefälschten Nachricht laut aussprechen.Das eigentliche Problem ist, ob jemand in der Lage ist, die SMS abzufangen und dieses einmalige Token vor Ihnen zu verwenden. Dies hängt von der Zeit ab, die zum Einrichten dieses Anrufs erforderlich ist, von unwahrscheinlich bis ziemlich unmöglich.In jedem Fall ist es wahrscheinlich 100-mal sicherer, als wenn jemand sein Passwort laut ausspricht, wo die Leute es möglicherweise mithören könnten.
Gute Argumente.SMS mag sicherer sein als der Status Quo, aber wenn ich ein neues, modernes Zwei-Faktor-Authentifizierungssystem implementiere, würde ich eine sicherere Implementierung anstreben, z.RSA oder Authy.
@BrianMcCutchon, Was bedeutet "aufgenommen"?Bedeutet dies notwendigerweise, dass der Anruf für eine längere Zeit gespeichert ist?Weil einige argumentieren würden, dass jede Art von Mikrofonaufnahme aufgezeichnet wird, was Bots beinhalten könnte.Ganz zu schweigen davon, dass es unklar ist, ob die Bot-Teile aufgezeichnet worden wären (im Übrigen fragt man sich, ob "dieser Anruf wird aufgezeichnet" aufgezeichnet wird).
Tom K.
2017-08-09 18:41:35 UTC
view on stackexchange narkive permalink

Obligatorische Warnmeldung:

Geben Sie Ihr Passwort niemals an Dritte weiter und lassen Sie sich von dieser Antwort in keiner Weise beeinflussen.

Da man in diesem speziellen Fall möglicherweise nicht alle Umstände kennen kann, ist ein wenig Spekulation erforderlich, um diese Frage zu beantworten.

Wenn ich alles richtig verstanden habe, ist der Fall wie folgt:

Das OP hat die Website der Bank besucht, die Support-Nummer nachgeschlagen und dann einen Anruf eingeleitet. Nachdem der Bot am Ende der Zeile nur seine Bank-ID (?) Gegeben hatte, begrüßte er das OP mit seinem Nachnamen und fragte nach dem Online-Banking-Passwort.

Ja, dies könnte ein Phishing-Versuch eines Angreifers gewesen sein. Die von Ihnen besuchte Site könnte geändert und eine andere Support-Nummer eingerichtet worden sein. Nachdem dies alles geschehen war, musste der Angreifer warten, bis das OP die Site freiwillig 1 sup> besuchte, und dann die Nummer anrufen. Der Angreifer hätte auch einen Telefonbot einrichten müssen, der auch die Bank-ID mit dem Nachnamen OP 2 sup> verbinden kann.

Dies - zumindest für mich - Es scheint eine große Anstrengung zu sein, nur das Passwort für ein Online-Banking-Konto zu erhalten, was bei Verwendung eines typischen Online-Banking-Systems nicht einmal so wertvoll ist. Normalerweise benötigen Sie einen zweiten Faktor, um jede Art von Geldtransaktion durchzuführen. Es ist immer noch eine Kompromittierung des Bankkontos, aber nichts, was nicht behoben werden kann.

Ich bezweifle sehr, dass dies ein Phishing-Versuch ist. Es scheint mir einfach keine gute Richtlinie zu sein, insbesondere wenn den Benutzern nicht klar ist, dass ihr Online-Passwort auch für die Authentifizierung über das Telefon verwendet wird.

(1) Theoretisch an Der Angreifer könnte einen Notfall vortäuschen, der einen Benutzer dazu veranlasst, die Support-Nummer anzurufen. sub>

(2) Es sei denn, das OP hat einen Fehler gemacht und seinen Nachnamen zuvor erwähnt während des Anrufs. sub>

Möchtest du die Ablehnung erklären?
Nicht herabgestuft, da ich beim erneuten Lesen im Allgemeinen Ihrer Schlussfolgerung zustimme.Der Ratschlag "Geben Sie niemals Ihr Passwort weiter" ist fast immer wahr, aber nicht 100%. Angesichts der Details der vom OP dargelegten Situation ist das Phishing-Szenario kein Anfänger.
Ihr Rat ist also, niemals etwas zu verwenden, für das ein Passwort erforderlich ist, einschließlich einer Bank-Website?
Ich weiß nicht, wo du das liest.
@Tom Wie * führen * Sie Telefonbanking durch, wenn Sie ihnen kein Passwort geben?
Ich verstehe wirklich nicht, warum ich das klären muss, aber weil es jetzt ein zweites Mal auftauchte, werde ich es tun.Ich denke, Sie beziehen sich in meiner Antwort auf eine der beiden Aussagen: 1.) "Geben Sie Ihr Passwort nicht an ** jemanden ** ..." Bitte beachten Sie, dass sich dies auf eine ** Person ** bezieht und nicht aufein automatisiertes System.Im Allgemeinen stimme ich Rorys Aussage zu: "Bei korrekter Implementierung sollte dies nicht unsicherer sein, als Ihr Passwort in eine Website einzugeben."Für mich gilt diese Aussage jedoch nur, wenn den Nutzern mitgeteilt wird, dass ihr Passwort für das Online-Banking auch für das Telefon-Banking verwendet wird.
Wenn Sie sich also auf diese Aussage beziehen: 2.) "Es scheint mir einfach keine gute Politik zu sein ..".Ich glaube, dass Sie für separate Systeme entweder unterschiedliche Kennwörter haben sollten oder - falls dies aus irgendeinem Grund nicht möglich ist - zumindest für Benutzer offensichtlich sein sollte, dass sie dasselbe Kennwort für zwei verschiedene Dienste verwenden.Ich könnte detaillierter auf meine Denkweise zu diesem speziellen Thema eingehen, aber ich bin der Meinung, dass dies weit über den Rahmen dieser Frage hinausgeht.
TheJulyPlot
2017-08-09 14:27:14 UTC
view on stackexchange narkive permalink

Ja, Sie sollten Maßnahmen ergreifen und dies Ihrer Bank melden. Höchstwahrscheinlich war dies ein Phishing-Versuch.

Dies sollte nicht passieren und ist keine normale Praxis.

Ihre Bank wird Sie niemals nach Ihrer PIN-Nummer oder Ihrem Passwort fragen.

BEARBEITEN: Nach dem Lesen Ihrer Kommentare und der Klarstellung (veröffentlicht nach meiner Antwort), dass der Kontakt vollständig von Ihnen initiiert wurde, ist es möglich / wahrscheinlich, dass dies kein Phishing-Versuch ist und entweder eine sehr schlechte Richtlinie ist (da für die Sprachausgabe / Biometrie kein geheimes Passwort erforderlich sein sollte) oder eine Anforderung von Informationen zum Nachweis der Identität in einem solchen Szenario.

In beiden Fällen würde ich Ihre Bank kontaktieren (über eine andere Methode als diese Telefonnummer) und erläutern Sie Ihre Bedenken und lassen Sie sich von ihnen klarstellen, dass diese Anfrage legitim war.

Phishing wird normalerweise vom Täter initiiert, nicht wenn Sie den Kundendienst der Site anrufen.
Dies ist kein Phishing und es ist üblich, einen Anrufer zu authentifizieren.
OP hat die Bank unter ihrer veröffentlichten Kontaktnummer angerufen. Warum glauben Sie, dass es sich um Phishing handelt?
Da das OP die Bank unter ihrer veröffentlichten Kontaktnummer anrief, ist es sehr unwahrscheinlich, dass es sich um Phishing handelt (es sei denn, wir gehen natürlich davon aus, dass sein PC mit Malware infiziert wurde, aber das ist ein Umweg, um jemanden zu phishing ...).
Dies war nicht ganz klar (zumindest habe ich es verpasst), bevor es in den Kommentaren klargestellt wurde, nachdem ich geantwortet hatte.Bei weiterer Überprüfung ist es möglich, dass dies kein Phishing-Versuch ist und es sich entweder um eine sehr schlechte Richtlinie oder um eine Anforderung von Informationen zum Nachweis der Identität in einem solchen Szenario handelt.
@TheJulyPlot aus Neugier Wie würden Sie einer Bank empfehlen, einen Kunden zu authentifizieren, der sein Callcenter anruft?
Würden Sie es der Bank melden, wenn für deren Website ein Kennwort zur Authentifizierung erforderlich ist?Es ist im Grunde das gleiche.
@Rory McCune Ich musste nie wirklich darüber nachdenken oder es analysieren, aber ich nehme an, ich würde es über einige Informationen, die für dieses Szenario bereitgestellt wurden, sagen.Eine Art und ein Satz gemeinsamer Geheimnisse.Ich bin nicht 100% auf die Lösung, um ehrlich zu sein, aber ich würde immer noch nicht über die Weitergabe eines legitimen Geheimnisses sagen, dass nur der Benutzer wissen sollte, auch wenn dies ein Bot ist.(Für das Voice-ID-System ist dies meines Wissens auch nicht erforderlich.) Dies scheint eine schlechte Praxis zu sein und schult die Benutzer auch darin, zu akzeptieren, dass sie ihre Passwörter möglicherweise rechtmäßig aufgeben müssen.Was würdest du empfehlen?
@TheJulyPlot Nun, ich habe früher als IT-Sicherheitsanalyst im Bankwesen gearbeitet, daher habe ich mich mit diesem Problem konfrontiert, obwohl dies am Tag zuvor war, als Sprachbiometrie und 2FA einfache Optionen waren.Sie haben die Wahl, entweder die gleichen Creds zu verwenden.für den Webkanal (wie es hier der Fall ist) oder verwenden Sie einen separaten Satz von Creds (z. B. ein bestimmtes Bankkennwort "Telefon").Die Verwendung von zwei Sätzen von Creds ist nicht ideal, da Benutzer den Satz, den sie seltener verwenden, wahrscheinlich vergessen werden.Im Idealfall würde ich empfehlen, dass beide Kanäle Hardware 2FA verwenden, damit Sie zusätzlich zu einem Kennwort ein einmaliges numerisches Token eingeben.
@9ilsdx 9rvj 0lo Ich würde nicht sagen, dass es dasselbe ist.Selbst wenn es korrekt implementiert ist, ist es komplexer und daher risikoreicher als die bloße Angabe Ihres Passworts.
@Rory Mcune Ja, ich wollte gerade einen zweiten Faktor zusammen mit einigen anderen Informationen sagen.Das fühlt sich weniger riskant an, aber wie gesagt, ich musste es mir nie genauer ansehen.
Kallmanation
2017-08-10 01:39:51 UTC
view on stackexchange narkive permalink

Ich würde dieser Bank nicht vertrauen. Selbst wenn dieser Anruf für ihre Systeme völlig legitim war, beweist dies nur, dass sie die Auswirkungen auf die Sicherheit auf mindestens zwei Arten nicht verstehen:

  1. Wenn Ihr Webkennwort einfach genug ist Um einem Bot gegenüber auszusprechen, dass er es gut genug verstehen kann, um zu bestätigen, dass es sich tatsächlich um Ihr Passwort handelt, ist es kein ausreichend sicheres Passwort für etwas so Sensibles wie Bankinformationen. Indem Benutzer gezwungen werden, ihr Passwort auszusprechen (oder es irgendwie über die Tastatur einzugeben, was ehrlich gesagt absolut höllisch klingt), ermutigen sie unsichere Passwörter.

  2. Aus Rorys Antwort:

    3. ol>

    Bei korrekter Implementierung sollte dies nicht unsicherer sein, als Ihr Passwort in eine Website einzugeben.

    und

    In Bezug auf die IVR-Systemsicherheit ist dies im Wesentlichen wie jedes andere System, das Daten verarbeitet. Es muss angemessen gesichert werden, damit Benutzeranmeldeinformationen nicht angezeigt werden, nicht anders als im Webkanal.

    Das Telefonieren unterscheidet sich SEHR von der Kommunikation in einem Webkanal. Sofern Sie keine verschlüsselte Telefonleitung von Ihnen zur Bank verwenden, kann alles, was über die Leitung übertragen wird, abgehört werden. Ein ordnungsgemäß implementiertes Web-Login kann nicht abgehört werden, da es eine End-to-End-Verschlüsselung verwendet. In den besten Implementierungen wird Ihr Passwort niemals in einer wiederherstellbaren Form übertragen. Selbst wenn der Webserver der Bank infiziert worden wäre, könnte er Ihr Passwort nicht erkennen (es könnte nur überprüfen, ob Sie im Besitz des richtigen Passworts sind Passwort). Hier ist eine Diskussion darüber, warum diese Hashing-Technik (zusätzlich zu dem bereits verschlüsselten Kommunikationskanal) verwendet wird oder nicht: Warum ist das clientseitige Hashing eines Passworts so ungewöhnlich?

    [T] Sie müssen sich irgendwie authentifizieren, um Ihr Konto mit Ihnen besprechen zu können.

    Dies ist wahr, aber die Verwendung von Webanmeldeinformationen ist nicht der richtige Weg. Und aus den oben genannten Gründen ist die Telefonkommunikation mit Unsicherheiten verbunden, und ich mache keine sensiblen Geschäfte über das Telefon, wenn ich helfen kann.

    Wie bei allem, nimm meinen Rat mit einem Körnchen Salz an. Die Wahrscheinlichkeit, dass Ihre Telefonleitung von einer Person oder Organisation abgehört wird, die daran interessiert wäre, Ihr Online-Passwort gegen Sie zu verwenden, ist sehr gering. Ich überlasse es dem Leser, dieses Risiko mit den Risiken der Bank abzuwägen, die andere Kommunikationskanäle nicht ordnungsgemäß absichert, und zu entscheiden, welches Risiko sie eingehen möchten.

    Sie werden niemals 100% sicher sein. Sie können Risiken nur auf ein akzeptables Maß reduzieren.

* "In der Tat wird Ihr Passwort in den besten Implementierungen niemals in einer wiederherstellbaren Form übertragen. Selbst wenn der Webserver der Bank infiziert worden wäre, könnte er Ihr Passwort nicht erkennen (es könnte nur überprüfen, ob Sie im Besitz von sinddas richtige Passwort). "* Das klingt nicht richtig.Zitat / Erklärung erforderlich.(Ich bin kein Krypto-Experte, also ist es * möglich *, dass Sie Recht haben, aber von der Krypto, die ich * studiert * habe, sehe ich nicht, wie Sie sein können.)
Originalquelle: Ich habe persönlich mehrere Web-Apps geschrieben, die diese Technik verwenden.Ich werde jedoch nach einem externen Verweis suchen, um diesen Abschnitt zu zitieren.Danke für die Rückmeldung!
Das klingt grundsätzlich unmöglich.Und es hört sich so an, als würden Sie Ihre eigene Krypto rollen.Freuen Sie sich auf Ihre Zitate.
Auf keinen Fall unmöglich.Nur eine sehr kluge Anwendung der einfachen Mathematik.Und wie in der Frage, auf die ich mich bezog, können wir uns über die Notwendigkeit und den Kosten-Nutzen-Kompromiss nicht einig sein.
"Anders ausgedrückt, obwohl es aus Sicht des Servers einige geringfügige Schutzmaßnahmen bietet, sollte der clientseitige Hash so behandelt werden, als wäre er das direkte Kennwort des Benutzers. Er bietet nicht mehr oder nicht weniger Sicherheit * auf dem Server* als wenn der Benutzer sein Passwort direkt angegeben hätte und als solches geschützt werden sollte. "Ja, wir können uns auch nicht darüber einig sein, wie klug es ist.:) :)
Ich glaube nicht, dass ich damit einverstanden bin, dass das Risiko der Kommunikation über eine Standardtelefonleitung für normale Benutzer ein erheblich höheres Risiko darstellt als die Verwendung eines Webkanals.Angesichts der großen Anzahl spezifischer Risiken für den Webkanal (z. B. PC-Malware, Exploits gegen über das Internet zugängliche Webserver) würde ich vorschlagen, dass die Risiken * für einen Standardbankkunden * bei Verwendung einer korrekten Einrichtung wahrscheinlich geringer sindTelefonkanal als bei der Nutzung des Webkanals.
Rory, die praktische Seite meines Gehirns müsste dir zustimmen.Daher die letzten beiden Sätze in meinem vorletzten Absatz.Ich fand es einfach wichtig, die Risikodifferenzen zwischen einer Telefonleitung und einer Internetkommunikation zu erwähnen.
@Wildcard Siehe [Authentifizierungstechniken für Challenge-Response] (https://en.wikipedia.org/wiki/Challenge–response_authentication#Cryptographic_techniques).Grundsätzlich speichert der Server nur Ihren Kennwort-Hash, aber anstatt Sie direkt aufzufordern, einen Hash Ihres versuchten Kennworts zur Authentifizierung zu senden, verwendet er eine "Challenge and Response" -Methode, bei der der Kennwort-Hash für eine Art als Verschlüsselungsschlüssel verwendet wirdvon nonce.
user156500
2017-08-11 00:03:44 UTC
view on stackexchange narkive permalink

Für Telefon- und Online-Banking gibt es normalerweise unterschiedliche Anmeldeinformationen. Dies vermeidet die meisten Versuchungen und Interessenkonflikte, da Telefonbanking nur über einen angemeldeten Telefonisten initiiert werden kann, und zumindest meine Bank weist ganz klar darauf hin, dass ihre Online-Anmeldeinformationen niemals per Telefon gefragt oder akzeptiert werden. genau wegen Phishing.

Wenn es völlig trivial wäre, Phishing von bonafider Dummheit zu unterscheiden, wäre Phishing weniger wichtig. In beiden Fällen scheint es eine schlechte Idee zu sein, der anderen Seite Ihre Online-Anmeldeinformationen anzuvertrauen.

8DX
2017-08-09 19:12:05 UTC
view on stackexchange narkive permalink

Haftungsausschluss: Geben Sie Ihre Anmeldeinformationen, Passwörter oder PIN-Nummern niemals persönlich, telefonisch oder online weiter. Verwenden Sie Bankkennwörter nur auf der verifizierten Website der Bank und überprüfen Sie die Sicherheitsinformationen Ihres Browsers (neben dem https).

Ich würde es nicht als "Verletzung der Privatsphäre" bezeichnen. da theoretisch Ihr Passwort (oder sein Hash) Informationen sind, die bereits zwischen Ihnen und der Bank geteilt wurden. Da Sie derjenige waren, der den Kundendienst anrief, haben Sie anscheinend entweder einen Fehler oder ein Sicherheitsleck in ihrem System entdeckt.

  • Ich wurde nach Teilen meiner PUK- oder Fabrik-ID aus dem Stück gefragt Aus Plastik wurde meine SIM-Karte von einem menschlichen Kundendienstmitarbeiter entfernt, als ich über mein Handykonto anrief. Und für ein paar Ziffern von meiner Kontonummer durch einen Bankangestellten, wenn Sie die Bank anrufen, niemals mein Passwort.
  • Nein, dies ist keine normale Praxis. Die meisten Banken warnen Sie, Ihr Passwort niemals aufzuschreiben, nicht Sie können es jedem mitteilen und nur von Ihrem Computer aus verwenden, wenn Sie sich über HTTPS beim Internetbanking-Dienst anmelden.
  • Es ist möglich, dass sie gehackt wurden (nämlich die in ihrem Servicecenter verwendete Bot-Software) oder alternativ könnte ein ungeplantes Sicherheitsrisiko / Fehler in ihrer Software sein. In jedem Fall stellt die Angabe Ihres Passworts über das Telefon ein Sicherheitsrisiko dar, da Sie möglicherweise belauscht werden, der Anruf umgeleitet wird (z. B. wenn Ihr Telefon gehackt wurde) oder jemand das Telefon abfängt und abhört Gespräch.
  • Kontaktieren Sie Ihre Bank über einen anderen Weg und melden Sie das Sicherheitsrisiko. Sie können entweder versuchen, den Fehler über das Kontakt- / Fehlermeldungsformular auf der Website zu melden, oder sich persönlich an Ihre lokale Niederlassung wenden. Eine andere Möglichkeit besteht darin, auf der Website der Bank nach Hilfeseiten zu suchen, die mit ihrem Telefondienst verknüpft sind. Diese beschreiben normalerweise den Prozess, der für die Nutzung der Kundendienstleitung erforderlich ist. Wenn dieser Schritt (dem Bot Ihr Passwort mitteilen) nicht enthalten ist, hat höchstwahrscheinlich jemand seine Bot-Software kompromittiert, oder es handelt sich um einen Phishing-Angriff von jemandem in seinem Service-Center Dieser Schritt ist enthalten. Es handelt sich höchstwahrscheinlich um ein übersehenes Sicherheitsrisiko. In beiden Fällen sollten die meisten Finanzdienstleister eine solche Beschwerde sehr ernst nehmen.
  • Abhängig vom Ergebnis dieser Beschwerde müssen Sie sich möglicherweise auch an Ihre Telefongesellschaft wenden, da dies auf böswilliges Verhalten zurückzuführen sein kann Software oder ein Sicherheitsrisiko bei Ihrem Provider. Um dies vorläufig auszuschließen, versuchen Sie, den Bankdienst mit einem anderen Telefon in einem anderen Netzwerk zu kontaktieren.
skrewler
2017-08-13 01:31:17 UTC
view on stackexchange narkive permalink

Sie haben nicht nach Ihrem Online-Banking-Passwort gefragt, sondern nach Ihrem Passwort / Ihrer Passphrase für ihr Telefonsystem. Eine Bank (geschweige denn ein Unternehmen / System), die dieselben Anmeldeinformationen für Ihr Online- und Telefonbanking verwendet, existiert einfach nicht.

-typisches "sicheres" Webkennwort:

+ o_TH3 -m * 0N2017! Dies wird dann in der DB als Hash gespeichert (z. B. 8dd6ae487b790146f6570cb5b01f7f70224f6706). Um zu authentifizieren, dass Sie den richtigen Pass eingegeben haben, verarbeitet das System Ihre Eingabe erneut und wenn es sich um eine Übereinstimmung handelt, werden Sie authentifiziert.

Bei Telefonsystemen werden Passphrasen als einfacher Text gespeichert, oder das automatisierte System erfordert nur die Verwendung Zahlen / Buchstaben und geben Sie sie Buchstabe für Buchstabe an.

Wenn Sie uns nicht über die von Ihnen verwendete Bank informieren möchten, erhalten Sie möglicherweise mehr Klarheit, wenn Sie Ihre Bank zurückrufen und um ein Gespräch mit einem Vertreter bitten?

Schließlich - da Sie sie angerufen haben, ist ein Phishing-Versuch nicht wahrscheinlich

TriloByte
2017-08-09 14:39:16 UTC
view on stackexchange narkive permalink

Auf den ersten Blick sieht es aus wie ein Betrug, aber Sie haben jetzt einige Dinge zu tun:

  1. Wenn Leute solche Anrufe erhalten, wird normalerweise empfohlen, die zentrale Anfrage der Bank anzurufen Rufen Sie nuber an und bitten Sie eine echte Person, eine Bestätigung zu erhalten, wenn der Fall echt ist.

    Da es sich sehr wahrscheinlich um einen Phishing-Trick handelt, sollten Sie ihn ihnen melden. Es hilft ihnen, die Kriminellen zu blockieren oder zu finden.

    • Sie müssen Informationen über die Telefonnummer oder E-Mail-Adresse angeben, von der sie stammen.
    • Geben Sie Informationen über die Zeitpunkt des Anrufs und aller anderen verdächtigen Aktivitäten mit Datum.
    • Geben Sie Informationen zu den angeforderten Informationen an und geben Sie an, ob Sie ihnen etwas zur Verfügung gestellt haben.

  2. Ändern Sie alle möglichen Daten, am besten indem Sie die zentrale Anfrageleitung anrufen, wo Sie ihnen eine FRISCHE neue E-Mail- und Telefonnummer geben, über die Sie sicher kommunizieren können. Am besten keine SMS von unbekannten Nummern lesen.

    • Ändern Sie den Benutzernamen, das Passwort und die PIN. Begrenzen Sie den Betrag des abhebbaren Guthabens. Aber ehrlich gesagt, wenn Sie ihnen einen Ausweis geben würden, würde ich aus Sicherheitsgründen einfach nach einem neuen Konto fragen. Dies hängt von Ihrer Bank ab, wie flexibel sie sind.
    • Nachdem Ihre neue E-Mail registriert wurde, müssen Sie auch das Passwort und die Sicherheitsfragen in Ihrem Konto ändern. Wenn das Konto sicher zu sein scheint, können Sie dieses Geld auf ein anderes Konto überweisen oder es am besten persönlich in bar bei Ihnen in der Bank bezahlen lassen oder von diesen auf das neue Konto überweisen lassen. Sagen Sie ihnen, dass Sie Informationen herausgegeben haben.
    • Vertrauen Sie keinen Websites, die in Ihrer (kompromittierten) E-Mail / Ihrem Konto auftauchen. Sogar SSL (sichere Site) kann gefälscht sein.

  3. Optional können Sie sich an die Polizei wenden, aber es ist Zeitverschwendung ohne spezifische Informationen.

    4. ol>

    Einige davon mögen übertrieben und unwahrscheinlich erscheinen, aber ich habe viele kluge, knifflige Kriminelle gesehen. Sie kommen täglich aus Russland oder Indien, wo sich die Strafverfolgung nicht um Ihre EU / US-Behörden kümmert.

    edit @ questioner comment

    Sie haben anscheinend nicht angegeben, wie es passiert ist. Ich weiß nicht, ob es bearbeitet wurde, aber so wie ich es verstanden habe, haben sie Sie kontaktiert. Wenn Sie die Nummer der offiziellen Website angerufen haben (kein Klick auf E-Mail-Links), haben Sie das getan, was ich gesagt habe. Aber:

    1. KEINES der Unternehmen, die ich bisher kannte (Banken oder IT), fragt am Telefon nach Passwörtern. Wie Sie sagten, ist es aufgezeichnet, unverschlüsselt und ohne Zustimmung des Eigentümers verwendbar. Sie fragen nicht einmal nach vollständigen ID-Nummern!
    2. Im Gegenteil, ich kenne Unternehmen, die Ihnen mitteilen müssen, dass der Anruf aufgezeichnet wurde, und der Mitarbeiter ist VERBOTEN, nach einem Passwort zu fragen, und sie verbieten das Besitzer, um einen von denen zu erzählen. Nicht einmal ein automatisiertes System verlangt die Eingabe vollständiger Passwörter über Tasten oder die Eingabe in das Telefon. Wenn dies eine echte Firma wäre, würde ich diese Bank sofort verlassen.
    3. Das sieht genau wie ein Betrug aus. Eine "reale Person" ist ein zentraler Punkt im Social Engineering. Der Betrüger gewinnt Vertrauen, indem er authentisch ist. Diese Art von Tricks werden täglich ausgeführt. Was ich beschrieben habe, ist eine offizielle Routine professioneller Unternehmen. Ich stimme zu, es ist eine schreckliche Politik, wenn dies eine echte Bank wäre.
      4. ol>
Nichts davon sollte benötigt werden, da ich eine Nummer angerufen habe, die sie ihren Kunden zur Verfügung stellen.
@sysfired Es gibt verschiedene Möglichkeiten, wie eine Nummer auf ihrer Website nicht legitim sein konnte.Jeder, der Zugriff auf Ihren PC oder Ihr Netzwerk hat, kann die Domain auf eine gefälschte Site umleiten und auf eine beliebige Weise bearbeiten.Es könnte sogar irgendwo einen Hack zwischen Ihnen und Ihrem ISP gegeben haben und jemand hat Sie auf eine gefälschte Website weitergeleitet.Wenn Web-SSL-Zertifikate nicht legitim waren und so weiter, könnte dies eine gefälschte Website gewesen sein.In jedem Fall sollte Ihre Bank Sie nicht nach Passwörtern fragen, da diese letztendlich nichts benötigen.Gleiches gilt für jeden Online-Support.
Wenn sie den Nachnamen von OP nur von seiner / ihrer ID abgeleitet haben, scheint dies eine Menge Arbeit zu sein, um nur ein Online-Banking-Passwort zu erhalten.


Diese Fragen und Antworten wurden automatisch aus der englischen Sprache übersetzt.Der ursprüngliche Inhalt ist auf stackexchange verfügbar. Wir danken ihm für die cc by-sa 3.0-Lizenz, unter der er vertrieben wird.
Loading...