Portada
mis comunidades
otras secciones
#3:
#2 Discrepo. Está claro que son los clientes los que tienen que tener más cuidado, pero los sistemas que se usan basados sólo en una clave y encriptación me parecen escasísimos. Deberían gastar algo de dinero en investigar mejores formas de autentificarte. Uniéndolo al móvil, segunda autorización por email o messenger o lo que sea... que se gasten algo de los miles de millones que ganan en I+d por una vez.
#9:
#3,#8, creo que no entendéis del todo cómo funciona el phishing.
En una estafa por phishing, el usuario está introduciendo sus datos en una web que no es la del banco. Por tanto, por mucha tarjeta o confirmación que se usen, basta con que la web falsa pida los datos y acepte los que se introduzcan sin comprobar nada.
Poco puede hacer ahí el banco, aparte de intentar informar a sus clientes y fomentar las buenas prácticas.
En una estafa por phishing, el usuario está introduciendo sus datos en una web que no es la del banco. Por tanto, por mucha tarjeta o confirmación que se usen, basta con que la web falsa pida los datos y acepte los que se introduzcan sin comprobar nada.
Poco puede hacer ahí el banco, aparte de intentar informar a sus clientes y fomentar las buenas prácticas.
#2:
Siento no sumarme a la corriente mayoritaria "anti-bancos", pero en el caso del phishing, el banco tiene poco que hacer (además de intentar educar a sus clientes). En un fraude por phishing, los sistemas del banco no intervienen para nada.
Eso sí, son todos unos chorizos.
Eso sí, son todos unos chorizos.
Comentarios
#2 Discrepo. Está claro que son los clientes los que tienen que tener más cuidado, pero los sistemas que se usan basados sólo en una clave y encriptación me parecen escasísimos. Deberían gastar algo de dinero en investigar mejores formas de autentificarte. Uniéndolo al móvil, segunda autorización por email o messenger o lo que sea... que se gasten algo de los miles de millones que ganan en I+d por una vez.
Siento no sumarme a la corriente mayoritaria "anti-bancos", pero en el caso del phishing, el banco tiene poco que hacer (además de intentar educar a sus clientes). En un fraude por phishing, los sistemas del banco no intervienen para nada.
Eso sí, son todos unos chorizos.
#3,#8, creo que no entendéis del todo cómo funciona el phishing.
En una estafa por phishing, el usuario está introduciendo sus datos en una web que no es la del banco. Por tanto, por mucha tarjeta o confirmación que se usen, basta con que la web falsa pida los datos y acepte los que se introduzcan sin comprobar nada.
Poco puede hacer ahí el banco, aparte de intentar informar a sus clientes y fomentar las buenas prácticas.
Me parece de coña que la multa del condenado sea igual al importe defraudado. Me pongo a robar y como mucho me quedo igual que estaba, "devuelvo" lo que robé la vez que me pillan y tan feliz. (seis meses de cárcel por los que no ingresas en prisión).
#0 te puse las tildes que no había puesto ninguna, y además es "phishing" o "phising". Por favor, id cuidadosos con la ortografía, al menos en lo básico, que sino parecerá un foro de hoygans.
Los bancos te cobran por los servicios que te dan, y el de las operaciones por internet es uno de ellos. Puesto que te cobran por ello, tienen la obligacion de conseguir que este medio sea un medio seguro, y por tanto, la obligacion de invertir mas en esta tecnologia que al final les supone un ahorro (una persona haciendo una operacion por internet tiene un coste muchisimo menor que hacerlo in situ en el banco, porque el tiempo que los bancarios se dedican a atender cuesta dinero y no lo dedican a otras operaciones mas rentables). Asi que no veo tan descabellado, como apunta #2, a que se condene tambien al banco por no tener un sistema mas seguro para la correcta identificacion de sus usuarios.
Por una vez, y sin que sirva de precedente, voy a defender a un banco: creo que no tienen ninguna culpa del phishing, ni deberían asumir la responsabilidad, por tanto. Es como si te hacen el timo de la estampita y el Banco de España tuviera que dar al timado lo que le han estafado porque los billetes que le han dado son del Monopoly.
A quien estafan es al banco no al cliente.
Un hurra por el juez !!!
#10 Claro, y en la página de phising vendrá un campito en el que tengas que meter esa clave de autenticación... y te la aceptará y guardará
Lo del móvil es bastante mejor idea.
#9 Si el banco controla que para hacer cualquier operacion ( sobre todo en pagos por internet y transferencias entre cuentas ), se ha de meter una clave aleatoria que solo el usuario posea, y ademas, existen metodos de identificacion del usuario mas seguras ( uso del movil ), entonces, por mucho que los defraudadores tengan los datos, no podrian sacar/pagar dinero de tu cuenta.
La culpa es de los bancos. Que arreen con las consecuencias.
#16 Eso es lo que se llama una "tarjeta de barcos"
Ha habido ataques phishing en los que se le ha pedido al "cliente" que introduzca TODOS los códigos de su tarjeta (la web presenta una imagen muy cuca de la tarjeta en pantalla, con los cincuentaypico campos de entrada para meter los numeritos). Muy amablemente, los chorizos le sugieren al cliente enviar la tarjeta por fax para "ahorrarle el trabajo".
Hay gente que ha picado en cosas como esas!
Las soluciones basadas en generadores de claves, tanto usando "tokens" criptográficos (como estos: http://www.digipasspack.com/remote.html), como aplicaciones J2ME que se ejecutan en teléfonos móviles están en desarrollo y no tardarán mucho en estar disponibles. Faltará ver cómo las reciben los usuarios no geek. Si los clientes de los bancos no aceptan esas soluciones, habrá poca cosa que se pueda hacer.
#16 El phishing puede ser "en tiempo real". Es decir, mientras el usuario va introduciendo los datos en el banco falso un programa va introduciendo datos falsos en el banco real.
En cuanto el usuario recibe la petición de código para recargar el móvil en realidad está haciendo una transferencia de todos sus fondos a la cuenta del ladrón. Ese mismo código que le pide la web falsa es el que necesita el ladrón para transferir el dinero (porqué lo está haciendo en ese mismo momento y es la que le pide el banco real).
La solución del móvil es la mas segura y hoy en día no hay problema para exigir un móvil como sistema de seguridad (o que te llame una maquina a un número fijo).
#9, #14, #15: En una tarjeta de claves hay decenas de códigos diferentes. El banco, cada vez que quieres operar, te pido una (aleatoriamente). Si alguien pica en un fishing, introducirá una de las claves, y cuando el chorizo intente entrar al banco real, le pedirá otra, con lo que no puede operar.
Dicho esto, el banco es el que debe asegurar las transacciones. Si no regala una tarjeta con chip y un lector a cada cliente es por que le sale más rentable pagar los phishings.
Ya hay muchos bancos que aceptan autentificación con el eDNI, es más lento pero es lo más seguro, y al estar basado en clave pública/privada aunque una web te lo capture con phishing no le servirá para nada.
A ver, que algunos pareceis muy listos pero no sabeis la gente lo tonta que es, a algunos habría que hacerles un test antes de darles de alta en una banca electrónica.
Que les llega un correo pidiéndoles media tarjeta de claves, pues el tonto picará igualmente, que les piden 2, pues 2 les dará, pero el que hacer phising que es muy listo entrará en su banca y repetirá una y otra vez la operación hasta que salgan las claves que necesita.
Que el banquito pone que se pueda firmar por móvil, pues el tonto al primer correo que llegue les dirá su móvil y hasta el código pin si hace falta.
Da igual lo que se haga, siempre habrá alguien que caiga. Lo único que puede hacer el banco es informar y rezar para que el cliente no caiga.
Es como el que sabe que fumar le puede matar, o que acostarse con cualquiera sin protección tiene riesgos, da igual, la gente lo hace...., y mañana dios dirá.
Es una buena noticia pero me extraña que se haga una regla de la sentencia. Los bancos ganan siempre, si o si.
#4 Bueno, ese extra de mas que tu pides son los 6 meses de prision.
#3 En realidad, es tan sencillo como que te proporcionen una tarjeta de claves personal e intransferible, ya sea en persona yendo a tu oficina, ya sea enviándotela a casa por correo certificado. En La Caixa lo hacen. No es más que una tarjeta con unos cuantos códigos numéricos aleatorios, y que cuando vas a realizar una operación te piden uno de ellos al azar. De esta forma tan simple, se evitarían el 99% de los casos de phishing.
Si el banco no se molesta en mejorar su seguridad, veo lógico que les hagan asumir su responsabilidad.
#23 Mas bien sería parecido a que alguien instalara un cajero automático falso conectado a la red del banco.
#18 Eso es exactamente a lo que me refería en #15
Lo que yo no entiendo bien es el tema de la seguridad.
En FF cuando accedo a Paypal, automáticamente se me pone la barrita de direcciones en verde, señal de que el sitio está validado y es confiable.
Generalmente la entidad certificadora es Verisign Inc.
Cuando accedo a un banco sin embargo, no hay barrita verde.
Creo que para todos los bancos que he comprobado la entidad certificadora es Verisign Trust Network y no Verisign Inc.
Alguien me explica pq para los bancos el nombre de dicha entidad certificadora cambia, y no hay color verde en la barrita, sino un fondo azul en el lugar del favicon?
#10 ¿Y si piden que introduzcas la clave completa? Vale, suena muy estúpido pero alguien picaria. Los bancos pueden poner muchas medidas de seguridad, pero siempre habrá alguien que haga todo lo que le digan.
#9 Pero la función de la tarjeta de coordenadas, es que si metes una de las claves en una web de phishing, el problema no sería muy grave, ya que con una sola tendrían muy pocas probabilidades de entrar en la cuenta.
No me parece lo correcto, esta sentencia seria equivalente a que el banco tenga que pagar porque alguien le dio su numero confidencial a alguien en la calle.