1501
www.sindinero.org/blog/archives/3398 
El otro día recibí un SMS en el móvil…Openbank, mi banco online, me enviaba un código para confirmar una transferencia de 100 euros a una cuenta desconocida. ¡¡Su puta madre!! Yo no había introducido ninguna orden de transferencia, se trataba de algún hijoputa que había conseguido las contraseñas y que quería desplumar a un pobre desgraciado como yo. Inmediatamente me puse en contacto con el banco para cambiar las contraseñas, formateé el portátil (los antivirus no detectaron nada), etc etc...
menéame
- usa GNU/Linux
Al menos en ING Direct de piden el uso de una tarjeta de coordenadas que la tienes que tener físicamente para conocer el código, se introduce siempre mediante teclado virtual. Hecho según el tipo de operación también te piden la confirmación de SMS.
En iBanesto hay también dos claves, una para consulta y otra para operaciones de movimiento de dinero. Pero por desgracia ambas son contraseñas relativamente cortas y que con un par o tres de operaciones el troyano puede capturar sin problemas. Tiene teclado virtual pero creo que solo se usa para la primera clave y no para la segunda, que es la importante.
Paypal no me gusta mucho ya que a la mínima hacen cargos a tu cuenta y su medida de seguridad es una única contraseña. Tengo que mirar si se pueden desactivar los cargos a cuenta para que únicamente use el saldo existente (casi seguro que sí pero por pereza aún no lo he hecho). Con esta configuración sí tendría una seguridad aceptable al permitir poner un límite específico y puntual para una compra específica.
En cualquier caso es inadmisible que a día de hoy haya bancos con banca electrónica que no tengan niveles aceptables de seguridad. Por suerte están aún asumiendo la responsabilidad de su incompetencia y en la práctica totalidad de los casos denunciados asumen ellos el importe del dinero robado.
He estado buscando algún estudio fiable al respecto y únicamente he encontrado esta tabla que tampoco aporta mucho: 1.bp.blogspot.com/_fWA7DVpD2eo/TMR4AVoVX0I/AAAAAAAAAjQ/xLXHl_NNWig/s16
Si alguien tiene un enlace con un estudio con mayor profundidad se lo agradecería.
Lo que están bien son unos aparatos que generan claves en función del día y hora y la cuenta destino (la cual introduces en el aparato), de esta forma, si no te roban físicamente el aparato, no pueden tener las claves.
asi ni te roba el banco ni los hackers
así que la comparación no es válida.
Edito: Windows trae su propio teclado virtual para discapacitados.
Siento deciros que los teclados virtuales ya no sirven, puedes buscar en youtube y vereis como hay troyanos que te graban en un vídeo un recuadro alrededor del ratón que les permite ver las teclas que pulsas en el teclado virtual y luego se lo envían a sus servidores sin que te des cuenta...
El mejor sistema es el de tener notificación por sms, te permite estar al tanto de tu actividad con el banco a tiempo real.
www.theregister.co.uk/2010/09/27/zeus_mobile_malware/
Si bien los sistemas de autorización "out of band" (fuera de banda, es decir, confirmar la transacción mediante otro canal que no sea el PC para reducir la posibilidad de que todos los canales estén interceptados) son una buena medida, no se puede "bajar la guardia" confiando únicamente en ese sistema.
Los token dinámicos que apunta #11 son una buena medida y están muy extendidos fuera de España... pero yo aquí aún no he visto muchos bancos que lo empleen.
Y lo cierto es que me identifico bastante con esta persona. Soy bastante cuidadoso en temas de seguridad, y aun así por lo que veo me la podrían jugar.
La herramienta de Teclado Virtual no puede proteger sus datos personales si la página web, que la página web que requiere de sus datos ha sido hackeada, ya que la información esta siendo obtenida directamente por los intrusos.
Teclado virtual solo previene de la intercepción de los datos privados cuando trabaja con Microsoft Internet Explorer y el navegador Mozilla Firefox.
support.kaspersky.com/sp/faq/?qid=208280449
#0 ha recibido un SMS supuestamente de su banco, pidiendo la confirmación de una transferencia de X euros. Sin entrar a valorar si en su caso particular era verdadero o falso, es una de las estrategias de phishing mas frecuentes: provocar terror y urgencia.
Llega un aviso de que se ha efectuado una transferencia de 3000 euros a una cuenta de las Islas Barbados y que sólo se dispone de 24 horas para cancelarla. Pero para ello, es necesario un procedimiento especial y personalizado, al cual se accede desde el enlace que el mensaje proporciona. Naturalmente, los que ya entendemos de técnicas de phishing sabemos que el enlace conduce a una web calcada a la del banco, que se hará con las dos contraseñas habituales. Pero mucha gente, aterrorizada ante la idea de perder mucho dinero, correrá a efectuar esa "cancelación" sin darse cuenta de sus terribles efectos.
Por tanto, primer mandamiento: cuanto más desastrosas sean las consecuencias del peligro del que advierte el mensaje y más nos incite a correr a evitarlo, mayor probabilidad de que se trate de una estafa. Es precisamente el miedo lo que los delincuentes buscan.
Segundo mandamiento: no os fiéis sólo del "candadito" como dice el artículo. Pinchad en la información de seguridad (dependiendo del navegador, suele ser algún icono al lado de la barra de direcciones) y verificad que realmente pertenece al banco. NUNCA JAMÁS hay que meterse al banco pinchando un enlace (en realidad, pinchar enlaces de E-mails es una temeridad en sí misma). Idea anti-pharming: averiguar la IP del banco y acceder directamente con ella, si lo permite (si no lo permite, añadidla al archivo HOSTS).
Keyloggers: si realmente os preocupan y no hay disponible teclado virtual, abrir el Bloc de Notas y teclead la contraseña intercalando letras entre navegador y Bloc de Notas. Por supuesto, terminantemente prohibido acceder a un banco desde cibercafés o incluso la oficina (podemos tener al traidor como compañero de mesa, y un keylogger de hardware USB o PS/2 es muy fácil de colocar). Sistema alternativo: tener un fichero de texto con las contraseñas (cifrado, claro está) y hacer copiar-pegar. Aunque todo esto fallaría ante un keylogger de vídeo (que sería un videologger).
Otra idea bastante buena que todo banco debería tener es no pedir la contraseña completa, sino parte de ella (cambiando en cada ocasión). De ese modo, ni keyloggers ni videologgers serían eficaces.
Ojito con los keyloggers que algunos son jodidos de detectar de verdad.
Bienvenido al club.
/SOLUCION_FINAL
¿Quien me pagaría entonces todos los recibos automáticamente sin que yo tenga que mover hasta el banco los martes y los jueves de 8AM a 10:30?
¿Quién me permitiría realizar transferencias bancarias a otras cuentas sin tener que ir a la oficina más cercana?
¿Quién me permite tener acceso a dinero en efectivo en cualquier cajero de la ciudad sin tener que volver a casa a sacarlo del colchon?
¿Quien me permite el uso de tarjetas de debito evitandome la molestia(y el riesgo) de ir cargado de dinero?
Si eso para ti es la solución final....podemos volver al intercambio de gallinas por leche. Que así seguro que no te roban dinero.
Dudo mucho de la existencia de esto.
El móvil no confirma nada. Te envía un código que debes introducir en unos minutos en una casilla de verificación.
¿ Esto lo haría el troyano ? Lo dudo
iBanesto permite el uso de certificados
Ahora en serio, en la banca virtual lo normal es usar 2 claves, una para entrar y otra para operar, luego se suele añadir una tercera para confirmar las operaciones que te las envían por sms, primero tienes que validar tú móvil en el banco claro.
Lo del teclado virtual no lo sabía no sé si es efectivo al 100% aparentemente puede funcionar.
Otras de las opciones es usar una tarjeta virtual, la cual recargas a tu gusto y con lo justo por si te la clonan.
EA.
Y digo yo,siendo esto un suponer teórico.
En caso de los keylogger, si registran toda actividad de tecleo. Por qué no hacer un poco el paripé cuando metes los datos. Es decir. Que tienes que teclear una clave (dato sensible). Pues tecleas ristras de números en el notepad pulsando enter, teniendo varias ristras de números, hasta que tecleas el correcto en la caja correspondiente (antes, durante y después del proceso por ejemplo).
¿Serviría de algo para que el keylogger si registra lo que tecleas, al menos se lleve mierda entre medias para evitar tomar el dato correcto?
Hombre y si tienes el navegador que recuerda los datos, y tecleas solo uno pongamos que el usuario, mejor que la clave, ¿no sería también algo mas útil?
Son sólo ideas.
- Te limita la movilidad. No puedes operar desde cualquier sitio a menos que lleves el certificado digital encima, algo poco práctico. Cuando se masifique el uso del DNI-e probablemente este problema desaparezca pero por ahora no me parece práctico.
- No identifica a una persona sino a un equipo. Es decir, si el atacante coge el control de tu ordenador y opera cuando tu no estás delante la pantalla tiene el certificado a su merced. En cualquier caso estará protegido por contraseña pero ésta también puede haberse capturado en tu anterior uso.
Por otro lado no me sirve eso de "puedes hacer tal o cual", la seguridad por defecto del banco debe ser suficientemente buena. No puede permitir que el usuario elija el "modo inseguro" ya que presupone que éste es suficientemente experto para saber elegir y eso normalmente no es así.
Prevx SafeOnline Free:
www.prevx.com/safebook.asp
Comodo internet security:
personalfirewall.comodo.com/
No hace falta que el eDNI se masifique: puedes obtenerlo mañana mismo en tu comisaría.
Esto te identifica personalmente y sólo necesitas un lector.
El cualquier caso, iBanesto tiene 2 claves ( una de acceso y otra de transacciones ) , junto con un código de verificación enviado por SMS. Esto me parece bastante seguro.
De hecho el SMS se está convirtiendo en un estándar en todos los bancos, es una buena noticia.
Otra parte beneficiosa es que si alguien intenta la transferencia el SMS te sirve para alertarte del intento de robo con lo que puedes proceder a cambiar las claves.
Ni de broma.
Cuando hablamos de dinero toda paranoia es poca.
Los que habéis marcado esta noticia como favorita es que tenéis pasta y utilizáis la banca electrónica. Gracias por la info...
<modo hacker off>
Sí, además ahora, con Banesto, si haces una compra o sacas del cajero ( al menos en 4B ) te manda un SMS diciendo la cantidad que han sacado, lo cual te permite reaccionar en caso de que te clonen la tarjeta.
Ambas son empresas reconocias, la primera aplicación se encarga de isolar tu navegador de modo que aunque tu ordenador este infectado ningún malware podrá robar tus datos, ni captura de pantallas, ni teclas, ni injecciones dll, ni phishing...
Ejemplos prácticos: info.prevx.com/download.asp?GRAB=IMMUNITY PDF
www.prevx.com/customersecuritymanagement.asp
Prevx SafeOnline protects against browser-based attacks, including:
* Man-In-The-Browser
* Phishing attacks
* Keyloggers
* Screen Grabbers
* Cookie Stealers
* Info Stealing Trojans such as ZEUS, MBR, Goldun, and Silent Banker
Incluso los bancos lo recomiendan
www.fnb.co.za/prevx-safeonline/index.html
La segunda es la mejor suite de seguridad solo que es para usuario medios-avanzados.
Hombre, si usas un SO algo seguro y un navegador decente es bastante complicado...
A pesar de que utilizo el firewall Zone Alarm, el antivirus Avast (protección en tiempo real), y ad-ware, me han debido de colar un troyano. Después de hacer un escaneo del equipo con Avast, ad-Ware, y Microsoft Security Essential, no se detectó nada anómalo. Nada.
Pues chico lo siento pero Zone Alarm como firewall de aplicaciones es bastante de juguete, es un producto cutre para el gran público, con una efectividad realmente baja. Sobre Avast y todos los antivirus basados en firmas y heurística de estar por casa, pues hombre, es que un sistema tan rudimentario como catalogar todos los virus del mundo, para que no te infecten...que esperabas?
¿Conclusión? No puedes bajar la guardia por el hecho de tener protegido tu equipo. Nada te garantiza que no haya algún malware indetectable para tu antivirus. Entonces, tenemos que seguir SIEMPRE algunas reglas básicas al realizar alguna operación de banca online :
Lo siento para con un sistema operativo PRIVATIVO e inseguro, tu equipo no estaba protegido, y mucho menos agregando mas y mas software PRIVATIVO (zone alarm), por encima, liándolo aún mas.
También podría ser alguno de los muchos pdf´s que me descargo (Acrobat Reader tiene un historial importante de fallos de seguridad…habrá que cambiarse a otros lectores más fiables). Qué sé yo…espero haber aprendido de esto…
En un sitio dice que tiene el protegido el sistema, mas abajo confiesa utiliza Acrobat Reader...
Conclusión para mi: típico usuario de windows, con el pc lleno de mierda, que cree que tiene el PC protegido.
La tarjeta de coordenadas y el sms sí sirven, pero hay que saber que:
a) NUNCA debes escribir la tarjeta completa de coordenadas en el ordenador, estarás infectado y te estarán timando (ning´n banco las pide, ni pide nada por correo, precisamente para evitar el fraude)
b) Los sms son un buen factor de autenticación, siempre que no te infecten el móvil. Ya existen infecciones para android, symbian y blackberry (las he visto), así que nunca instales un certificado/aplicación de la que no sabes su procedencia!!
Y tampoco hay que olvidar que en cualquier sistema de seguridad el eslabón más debil es el ser humano: ingenieria social / compañero de piso / familia / pareja...
[offtopic] Para ver vídeos con subtítulos en condiciones aun necesito windows. ¿Alguien conoce algún programa capaz de duplicar la resolución de los subtítulos? (es para videos de baja resolución, en windows uso DirectVobSub) Y no me digáis VLC que me saca unos bordes de sierra en las letras que da gusto
www.securitybydefault.com/2010/10/bancos-y-ssl-quien-aprueba.html
Aconsejo la lectura del blog , es muy didactico y muy interesante.
Y el artículo es del tipo, "Eh! Cojo guarrerías del suelo y me pillo enfermedades. Si, soy tonto y en mi casa lo saben. Si, soy del pasado"
- Muy importante: no ponerse a navegar con privilegios de administrador, en Windows utilizar una cuenta restringida y ejecutar con permisos de administrador aquellas tareas que lo requieran. Es así como se usa de manera responsable el ordenador, pero en informática los usuarios aunque no tengan conocimientos son también administradores de sus equipos (mientras que un conductor no es mecánico de su propio coche). Porque resumiendo si se utiliza una cuenta restringida, todo lo que afecte al navegador no podrá causar estragos en partes sensibles del sistema, no entrarán virus por el navegador por muchas web maliciosas que visitemos.
- Desactivar Javascript en el navegador cuando estemos visitando páginas que no son de confianza, así evitamos no sólo los virus, también otro tipo de cosas que afectan a nuestra privacidad.
- Fijarse cuando se introduzcan datos sensibles en una web que aparece en la barra de direcciones https, que no nos de errores el navegador sobre un certificado no válido, para que sepamos que la web es quien dice ser por un lado y por otro que nuestros datos viajen cifrados, proteger también nuestra red doméstica si es WIFI con WPA-PSK o WPA2-PSK, con una contraseña PSK robusta, para evitar que intrusos tengan acceso a nuestra red local. Que los DNS como han dicho estén infectados no importa, ya que una web falsa nunca podrá presentar en un principio un certificado válido (al menos que lo hayamos instalado en nuestro navegaor). Como han comentado existe malware que captura las teclas pulsadas, hace capturas de pantalla e incluso los hay que generan una ventana que simula la visita a una web segura determinada en un navegador.
- Si se va a realizar una transacción muy importante utilizar un cd-live, se adquieren gratis de internet y son muy fáciles de usar.
Lo de utilizar Ubuntu u otra distribución eso que cada uno elija, yo lo recomiendo para probar nuevas cosas no tanto por la seguridad, existe por ejemplo Ubuntu para sistemas de escritorio que es muy fácil de utilizar para todo el mundo, el problema con Windows es que la gente no sabe utilizarlo de manera segura.
En mi blog elpiratillaguason.blogspot.com intento divulgar la seguridad informática de una forma amena y entendible para los que no son expertos ni tienen tiempo para empaparse de ésto, aunque existen artículos que requieren de ciertos conocimientos otros no y tienen una utilidad práctica.
Un día, Windows mató a mi gato y violó a mi perrita
La mejor solución es el SC Antivirus, que por desgracia es difícil de encontrar, y imposible de instalar en algunos sistemas
PD: SC = Sentido Común
Para cada tren hay un viajero, me aburre ya lo de "usa linux", cada cual que use lo que quiera
Fmdo: antiguo usuario de ubuntu y debian
lo que dicen de linux.. si ahora puede, pero si toda la gente lo usa, sera cuestion de tiempo que salgan virus/troyanos/keyloggers que los tontos de los usuarios se instalen solitos, igual que pasa en un windows bien usado(usuario limitado).
www.sindinero.org
O sea, que el malo tiene que saber mi clave de acceso, mi clave de operación y mi número de teléfono.
Creo que puedo sentirme seguro.
#72 ni lamers, ni phreaker.
#24 En una Isla secreta, ahora que todos los internautas somos "Piratas" sería un buen método, no marquéis la X en el google maps o derivados.
Lo de GNU/Linux lo veo como una solución para reducir el ERROR de tipo maquina, es decir intrusión de virus o de otros agentes, pero esta maquina esta controlada por un usuario, y este usuario si los puede cometer, y hay entra otra vez GNU/Linux o derivados , no puedes arrancar el sistema GNU/Linux directamente en RooT(Superusuario o Marronman como yo le llamo) y eso evita muchos problemas basados en descuidos por parte del usuario.
También hay niveles de seguridad en los S.O. y se puede decir que un GNU/Linux instalado de serie tiene una mucho mejor seguridad que un W**D**s, pero que sepáis que eso es el primer escalón y que se pueden subir muchos más y hay está el hecho diferencial entre usar un W**D*S y un GNU/Linux , que este ultimo, en cuanto a seguridad es escalable.
PD:Por cierto para los de las aplicaciones vitales en W**D*S tenemos WINE(GPL) y parallels de pago
No voy a tener un sistema operativo libre a la fuerza si este no cumple mis exigencias, mucho menos cuando hay otro que las cumple por completo, en el aspecto de que los programas se han desarrollado para él, no malinterpretes.
Además, te puedo decir que aunque Windows acabe jodiéndose con el tiempo, pasar de Linux a éste fue orgásmico: el sistema de ventanas va mucho más fluido (al menos que Gnome, no sé cómo irán los otros), a la hora de usar dos monitores no hay punto de comparación...
A los usuarios estándar les recomiendo Linux porque cubre todo los requisitos (internet y ofimática) y consume menos recursos, pero para los profesionales de algunos sectores es inviable por el momento, le falta el apoyo de las desarrolladoras.
Alarma, visualizador de porno en cantidades industriales avistado
- Un ladron de dinero electronico esta mas cerca de un spamer que de un Hacker o Cracker.
- Necesita:
1.- La clave de entrada a tu cuenta (DNI, fecha de nacimiento clave, etc...)
2.- La tarjeta de claves para realizar operaciones de transferencias de dinero.
3.- Necesitaría tener controlado tu movil, para bloquear el mensaje que tu banco te manda por SMS
La probabilidad de que ocurra 1 , 2 y 3 es una probabilidad condicionada, así que hay que multiplicar cada una de las probabilidades independientes, para calcular la probabilidad total de que eso ocurra.
-En el desafortunado caso que el caco haga una transferencia a su cuenta. Podemos poner una denuncia, (si como cuando nos atracan en la calle) y en algunos casos, si se lo explicamos al banco, nos ayudan y la ponen ellos.
El banco apunta TODO lo que pasa en sus sistemas, IPs, hora de acceso, tiempo de acceso, navegación que hemos realizado,... TODO es TODO, asi que:
- No será muy dificil encotrar la cuenta a la que ha sido transferido el dinero.
(recordar que el dinero electronico se puede rastrear!!! bueno hay metodos para borrar la pista pero eso es otra historia)
- La IP desde el ordenador que ha sido realizada, (si puede ser que haya utilizado proxis, etc.... pero eso es otra historia)
Todo esto no quita para que tengamos el máximo cuidado posible, y se utilicen SIEMPRE todos los sistemas de seguridad A LA VEZ!!!!
Y una cosa mas... para los fanboys de linux, no es ningún argumento válido de seguridad, utilizar un sistema no mayoritario o libre, o distinto. Ya que entonces yo podría decir que mejor acceder con un spectrum que ya no lo utiliza nadie..... por favor!!!!
Siento el "ladrillo", pero necesitaba explicarlo ... desde mi experiencia.
Porque si es por no estar de acuerdo en la emulación de programas Windows en Linux, podrías decirme si eres capaz de correr Photoshop x64 o After Effects x64 o mismo x86 en Wine. Igual tú conseguiste algo que los desarrolladores aún no consiguieron hacer. Wine es bueno para programas básicos, pero no es la solución a programas potentes, repito. Lo digo bajo la experiencia de haberlo intentado.
Ahora si quieres vótame de nuevo negativo, esta vez me lo tomaré como que no tienes argumentos para debatirme.
P.D: No por ser fanboy de Linux eres mejor que un Fanboy de Apple o de Windows.
Para ver los subtítulos a la resolución nativa del monitor, basta con que uses el escalado por software.
gamersmafia.com/storage/comments/870/70/trollface_hd.jpg
Comentario 101!!!! www.saulvargas.es/wp-content/uploads/2009/06/epic-fail-guy-dance.gif
Que para ti sea una estupidez no significa que lo sea para todo el mundo.
A diario se roban identidades online y estas son utilizadas ordenar transferencias desde la cuenta del pardillo/listillo/desgraciado a otras cuentas. Y si lo logran es gracias a las estupideces que comete la gente debido a su ignorancia, como por ejemplo la que podrías llegar a cometer si ordenases a tu banco que desactivase cualquier tipo de operación online excepto las transferencias y comenzases a conectarte a tu banco desde cualquier ordenador sin preocuparte de su estado y/o utlizando una contraseña mas sencilla, creyendo que el riesgo de que te roben haciendo una transferencia es nulo al creer que es estúpido: cada vez que el banco gestiona una transferencia apunta la cuenta de destino y con ella podrías localizar al que tiene tu dinero para que te lo devuelva tras explicarle lo sucedido.. o peor aún, creer firmemente que el beneficiario es necesariamente el ladrón y cabreadísimo, liarla parda...¿y en lugar de esto, resulta que el saldo de la cuenta a la que se transfirió el dinero es de 0€ y el titular no existe o no sabe de la existencia de esa cuenta y resulta que estaba en coma el día que se abrio la cuenta?
Es que ni se instala ni gaitas : al usuario medio que propones, basta con que le digas que encienda el ordenador normalmente como si fuese a leer el marca, que una vez arrancado meta el CD y que reinicie el ordenador para que arranque lo del banco y que una vez salga el escritorio que le de a (usando ubuntu como ejemplo) Aplicaciones, Internet y Navegador Web Firefox.
Es más, he conseguido enseñarle esto a uno de 48 que no sabria ni llegar a encontrar el marca y que no sabe que es un word...