Einige Tricks:
"Die größte Sicherheitslücke von Smart-ID besteht darin, dass seine Sicherheit vollständig von der Fähigkeit der Benutzer abhängt, Phishing-Seiten zu erkennen oder die Identität des Anrufers zu überprüfen. Die meisten Menschen können dies nicht zuverlässig tun. Jahrzehntelange Forschung hat gezeigt, dass die Fähigkeit eines durchschnittlichen Benutzers, Phishing-Seiten zu identifizieren, nahezu einer zufälligen Vermutung unterliegt und selbst technisch versierte Benutzer häufig Opfer gut durchdachter Betrügereien werden. Doch diese Realität wird in Diskussionen über die Sicherheit von Smart-IDs weitgehend ignoriert.
Banken fordern Kunden auf, Smart-ID-Anfragen bei verdächtigen Anrufen zu bestätigen, während ihre eigenen Kundendienste genau die gleiche Methode zur Identifizierung von Kunden verwenden. Wie sollen Benutzer verstehen, warum es in einem Fall akzeptabel ist, in einem anderen jedoch nicht? Im wirklichen Leben hat dieser, nachdem er sich gegenüber einem Fremden identifiziert hat, nicht die Möglichkeit, uns in der Bank zu vertreten, aber das passiert mit Smart-ID.
In der Öffentlichkeit tendieren Banken dazu, Phishing in die gleiche Kategorie zu stellen wie Betrügereien, die keine technischen Schwächen aufweisen, wie z. B. Investitions- oder Liebesbetrug, und tun so, als könnten sie den Opfern nur mitfühlend zuhören und sie in Zukunft beraten "Seien Sie vorsichtiger". Das ist nicht wahr.
Obwohl Banken öffentlich bestätigen, dass ihnen der Schutz ihrer Kunden vor Betrug sehr wichtig ist, lohnt es sich zu fragen, warum unter den großen estnischen Banken nur LHV die Smart-ID-Sicherheitsmaßnahme eingeführt hat, bei der der Benutzer aus mehreren Optionen den richtigen Verifizierungscode auswählen muss. Der Grund ist einfach: Andere Banken betrachten selbst minimale zusätzliche Sicherheitsmaßnahmen als inakzeptable Unannehmlichkeiten für die Kunden, die ihrer Wettbewerbsfähigkeit schaden können.
Tatsächlich könnten Banken viel mehr tun, um Betrug zu verhindern und frühzeitig zu erkennen. Banken verarbeiten eine große Datenmenge, die zur Erkennung verdächtiger Aktivitäten im Internetbanking genutzt werden könnte – neue Geräte oder ungewöhnliche Standorte, Änderungen der Zahlungslimits, atypische Transaktionen, Zugriff aus einem anderen Land als dem Standort des Smart-ID-Geräts, die Reputation von IP-Adressen usw. Es gibt jedoch keine öffentlichen Beweise dafür, dass Banken diese Optionen tatsächlich umsetzen. Und warum auch, wenn die Verluste doch von den Kunden getragen werden und nicht von den Banken?
Apropos Verantwortung: Die Banken machen geltend, dass die Opfer die volle Verantwortung für die Bestätigung betrügerischer Smart-ID-PIN2-Zahlungsanfragen tragen müssen. Dabei ignorieren sie die Tatsache, dass die Sicherheitsverletzung vor der PIN2-Bestätigung erfolgt, nämlich in dem Moment, in dem die Bank dem Betrüger Zugriff auf das Online-Banking-Konto des Opfers gewährt. Dieser Zugriff ermöglicht es dem Betrüger überhaupt, eine betrügerische PIN2-Zahlungsanfrage an das Gerät des Opfers zu senden.
Im Wesentlichen beruht der schnelle Erfolg von Smart-ID zu einem großen Teil auf dem Leid der Phishing-Opfer, die die Kosten eines komfortorientierten Sicherheitsmodells getragen haben. Bequeme Bezahllösungen haben ihre Berechtigung, es liegt jedoch in der Verantwortung der Banken, die entsprechenden technologischen Risiken zu berücksichtigen und Schutzmaßnahmen zu ergreifen, wie dies auch beim kontaktlosen Bezahlen der Fall ist, für das ein Transaktionslimit von 50 Euro gilt.
Das Problem beschränkt sich nicht nur auf die mangelnde Sicherheit des Smart-ID-Authentifizierungsprozesses vor Phishing-Betrügereien. Neuerdings machen sich Betrüger auch Schwachstellen im Smart-ID-Ausstellungsprozess zunutze. Die Verantwortung dafür, dass elektronische Identitätsgeräte nur ihre rechtmäßigen Besitzer erreichen, liegt in erster Linie beim Smart-ID-Dienstleister SK."
https://www.err.ee/1609910149/arnis-parsovs-pangad-ei-kasuta-smart-id-ongitsusrunnete-vastaseid-meetmeid
Von riisikas
5 Kommentare
Kaotagu üldse ära ilma kontrollkoodita auth? Duh.
> Pangad hoiatavad kliente Smart-ID päringute kinnitamise eest kahtlaste kõnede ajal, samal ajal kui nende enda klienditeenindus kasutab klientide tuvastamiseks täpselt sama meetodit. Kuidas peaksid kasutajad aru saama, miks on see ühel juhul vastuvõetav, kuid teisel mitte?
See käib meie ühiskonnas tagantjärele. Kui pank helistab ja küsib PIN1 ja sa annad ja sa ei kaota selle tulemusena raha, siis oled tark ja eeskujulik. Kui pank helistab ja küsib PIN1 ja sa annad ja kaotad raha, sest sinu selgeltnägemisvõime vedas alt ja helistaja oli hoopis kelm, siis sa oled ise süüdi, loll, ja lollidelt peabki raha ära võtma.
Rootsis on asi lahendatud nii, et iga tehingu pead eraldi kinnitama. Ja igal BankID kasutaval tehingul on kirjeldus, ülekannetel on konkreetselt kirjas kui palju kellele läheb enne kui PIN2 või biomeetriat kasutad. Ikkagi saavad mõned petta, aga oluliselt vähem kui Eestis.
Sorry, aga loll annab raha ikka ära, vahet pole palju võimleme…
Alles oli lugu kus memm viis sularaha omniva pakiautomaati, kuidas seda takistada?
Palun selgitage lollile. Kas need samad nõrkused ei eksisteeri mobiil-ID puhul?
Kas turvalisem turvameede poleks, kui kasutaja peaks ise numbriklahvistikul toksima numbri sisse mitte etteantute seast valima? Lisasamm, mis sunniks kasutaja taaskord läbi mõtlema, kas see tegevus ikkagi on mõistlik ja tema enda algatatud.