Link alla notizia: https://www.hwupgrade.it/news/sicurezza-software/brata-colpisce-anche-in-italia-e-il-pericoloso-trojan-bancario-che-resetta-il-telefono_104320.html

Una vecchia conoscenza che risale al 2019 torna ora con nuove funzionalità più avanzate e prende di mira anche gli utenti di conti bancari italiani: attenzione ai messaggi SMS che sembrano arrivare dalla banca

Click sul link per visualizzare la notizia.

Mi rivolgo ai delinquenti che creano queste porcherie...

Mandate, anzi, continuate pure a mandarmi questi sms farlocchi...non smettete...che mi diverto troppo !

...app non ne scarico ovviamente...ma mi diverto troppo A COMPILARE con INSULTI PESANTI tutti i vostri campi nei vostri finti siti web acchiappa ingenui o inesperti, tramite tor e virtual machine linux !

Non ve lo posso scrivere qui...ma sapete i trojan dove dovreste metterveli ? Eh...ci siamo capiti...andate a lavorare...con le abilità che avete vi fa tanto schifo un lavoro onesto ?

:rolleyes:

Ovviamente tutte queste cose, per funzionare, necessitano che, dall'altra parte, ci sia l'imbecille di turno, che nemmeno contralla la fonte del SMS, e apre il link proposto inserendo pure i dati.

...app non ne scarico ovviamente...ma mi diverto troppo A COMPILARE con INSULTI PESANTI tutti i vostri campi nei vostri finti siti web acchiappa ingenui o

sei una brutta persona.

mi vuoi privare dell'esclusiva di un mio puerile divertimento.
mi toccherà alzare il livello degli insulti....

Allora vedo che siamo in tanti ad insultare costoro...:D :D :D

Ovviamente tutte queste cose, per funzionare, necessitano che, dall'altra parte, ci sia l'imbecille di turno, che nemmeno contralla la fonte del SMS, e apre il link proposto inserendo pure i dati.

Una mia collega ci credette, appunto con banca intesa, e gli sparirono 6000 euro...
Ora ha imparato alla perfezione cosa è il phising, potrebbe persino tenere dei corsi per insegnarlo !

Una mia collega ci credette, appunto con banca intesa, e gli sparirono 6000 euro...
Ora ha imparato alla perfezione cosa è il phising, potrebbe persino tenere dei corsi per insegnarlo !

ce credo...corso RAPIDISSIMO ha fatto

Vi quoto tutti ! ;)

Tipo questo arrivato stamattina ?

https://i.ibb.co/vj0GXRJ/Screenshot-20220127-154306.jpg (https://ibb.co/vj0GXRJ)

Tipo questo arrivato stamattina ?

https://i.ibb.co/vj0GXRJ/Screenshot-20220127-154306.jpg (https://ibb.co/vj0GXRJ)

Si arrivano anche a me così....PORACCI...vedi sopra...una VAGONATA di insulti verso loro e chi non ha usato le dovute protezioni quando è divertito e li hanno concepiti...:stordita:

Mi pare di capire che l'SMS con il numero della propria banca come mittente arriva e consiglia di scaricare una app. Tramite questa app i malviventi riesco a fare bonifici a nome del possessore del telefonino. Poi sempre tramite questa app riescono pure a resettare a livello di fabbrico il cellulare.

Inoltre si dice nell'articolo che un metodo alternativo usato nelle precedenti versioni del malware era quello di infettare app dal Playstore in modo tale che l'utente scarichi una app che fa certe funzioni ma poi in aggiunta ha anche le funzioni del malware. È ormai storia che un metodo alternativo di infezione dei dispositivi è quello di acquistare a caro prezzo app molto diffuse per poi passare ad aggiornarle opportunamente includendo il loro malware. Le spese di acquisto dell'app vengono più che compensate con la ricchezza dei conti correnti di chi li ha nei cellulari, ricchezza esfiltrata tramite bonifici.

Inoltre pare una volta di più evidente che basta una app sul dispositivo per fare bonifici con buona pace della doppia autenticazione, impronta digitale, riconoscimento facciale e amenità varie.

Questo si evince anche da questo articolo.

Sarò un dinosauro, ma secondo me erano molto più sicure le chiavine otp rispetto all'autenticazione tramite app.

Sarò un dinosauro, ma secondo me erano molto più sicure le chiavine otp rispetto all'autenticazione tramite app.

Ecco questo è il punto.

Il telefonino non può avere l'autenticazione a due fattori in quanto è un unico dispositivo fisico e anche software per cui è sempre una unica autenticazione. Ne consegue che una volta che "ti" hanno installato una app ti possono svuotare il conto in banca se hai il conto sul cellulare.

Io non ho attivato la app della mia banca sul mio Huawei P40 lite e mantengo la versione web (che posso sfruttare sia da cellulare che da Computer) con la "vera" doppi autenticazione fatta col token fisico.

Poi la mia banca richiede per i bonifici con nuovo destinatario pure un SMS da cui ne viene fuori che i dispositivi fisici coinvolti sono 3: PC, Cell e Token.

Ecco questo è il punto.

Il telefonino non può avere l'autenticazione a due fattori in quanto è un unico dispositivo fisico e anche software per cui è sempre una unica autenticazione. Ne consegue che una volta che "ti" hanno installato una app ti possono svuotare il conto in banca se hai il conto sul cellulare.

Se gli dai tutte le autorizzazioni che chiede, forse può essere...
Se provo a dare ad un app la possibilità di leggere sms/notifiche, il mio telefono mi avvisa che questa è cosa molto pericolosa e mi chiede due volte se sono sicuro di farla !
Senza questa, l'app malware non lo può fare.

Se gli dai tutte le autorizzazioni che chiede, forse può essere...
Se provo a dare ad un app la possibilità di leggere sms/notifiche, il mio telefono mi avvisa che questa è cosa molto pericolosa e mi chiede due volte se sono sicuro di farla !
Senza questa, l'app malware non lo può fare.

Ci sono diversi punti deboli nel tuo ragionamento. Non si tratta di app malevola ma di app che magari già ben conosci e che è passata di mano: tu ti informi nel tempo su chi acquista e vende le app che hai installato? io no. Che autorizzazioni ha l'app che i malviventi hanno acquistato per aggioranerla con il loro malware? Io non ti so dire, dipende dall'acquisto che hanno intenzione di fare. Poi il fatto che possa chiedere un permesso in più non è facile capire se lo fa perché ha aggiunto nuove funzionalità (che magari a me non interessano) o perché è passata di mano.

Un altro punto debole è che io nel mio PC ricevo almeno una volta alla settimana (ma a volte di più) un aggiornamento che quasi sempre è un bugfix con pericolosità variabile. Già questo fa capire che un cellulare non aggiornato oppure aggiornato due volte all'anno è parecchio esposto. Quindi è esagerato dire che senza una autorizzazione un programma presente all'interno del proprio PC o del proprio Smartphone (che è lo stesso) e che ha i diritti utente non possa eseguire quello che non gli è teoricamente permesso.

Terzo punto è che gli exploit si possono acquistare, questo non è possibile se non ci sono soldi che girano ma qui si parla di conti correnti con bonifici da migliaia di euro e quindi gli acquisti si possono fare con i soldi che hanno dentro i cellulari gli italiani.

Ci sono diversi punti deboli nel tuo ragionamento. Non si tratta di app malevola ma di app che magari già ben conosci e che è passata di mano: tu ti informi nel tempo su chi acquista e vende le app che hai installato? io no. Che autorizzazioni ha l'app che i malviventi hanno acquistato per aggioranerla con il loro malware? Io non ti so dire, dipende dall'acquisto che hanno intenzione di fare. Poi il fatto che possa chiedere un permesso in più non è facile capire se lo fa perché ha aggiunto nuove funzionalità (che magari a me non interessano) o perché è passata di mano.

mi sembra un eventualità alquanto rara...
e comunque se un app prima non chiede nulla poi vuole leggere le notifiche sms, qualche domanda me la faccio...

Un altro punto debole è che io nel mio PC ricevo almeno una volta alla settimana (ma a volte di più) un aggiornamento che quasi sempre è un bugfix con pericolosità variabile. Già questo fa capire che un cellulare non aggiornato oppure aggiornato due volte all'anno è parecchio esposto. Quindi è esagerato dire che senza una autorizzazione un programma presente all'interno del proprio PC o del proprio Smartphone (che è lo stesso) e che ha i diritti utente non possa eseguire quello che non gli è teoricamente permesso.

vero, ma il problema al 99% dei casi non è colpa del telefono/pc non aggiornato...
La colpa è di chi ci mette le mani sopra !
Cerca un pò in giro, vedrai che ci sono una marea di sgallettate che piangono perchè gli hanno rubato i video sozzi che si sono fatti con l'iphone che mi risulta essere uno dei più aggiornati, però magari come password ci mettono 1234, quindi puoi avere il telefono con aggiornamenti in tempo reale, ma se sei pirla lo rimani !
Altresì gli smartphone esistono da più di 10 anni, in questi dieci anni, non ho mai avuto notizie di furti di dati, hackeraggi, e simili in massa, qualche caso sparuto dovuto al pirla che striscia le dita sullo schermo o che abbocca al phising.

Terzo punto è che gli exploit si possono acquistare, questo non è possibile se non ci sono soldi che girano ma qui si parla di conti correnti con bonifici da migliaia di euro e quindi gli acquisti si possono fare con i soldi che hanno dentro i cellulari gli italiani.
ah bè sul dark web puoi acquistare ogni genere di cosa / servizio illegale, quindi ci stanno anche questi, ma dipende se il gioco vale la candela e finora mi pare di no...

Tipo questo arrivato stamattina ?

https://i.ibb.co/vj0GXRJ/Screenshot-20220127-154306.jpg (https://ibb.co/vj0GXRJ)

Arrivato con "BANCAMPS".

Mi rivolgo ai delinquenti che creano queste porcherie...
Eh...ci siamo capiti...andate a lavorare...con le abilità che avete vi fa tanto schifo un lavoro onesto ?
:rolleyes:

Mah guarda, credo che per la stragrande totalità in questi ultimi 10 anni, la differenza la faccia un lavoro nel loro paese a 200 euro al mese e fare le truffe a 20.000 euro al mese. E se li prendono? Impunità totale se le truffe sono fatte verso un paese straniero.
Poi anche se è impossibile, tu ne becchi uno, buona fortuna a farlo venire a processo qui a Oleg dalla Russia o a Kasimir dalla Romania (giusto per fare un esempio in Eu ed uno fuori Eu).

I governi della maggior parte dei paesi poveri europei e non, sono completamente CONNIVENTI su questa cosa.

Ma di cosa stiamo parlando?
Non ce ne libereremo MAI più.

Se le hanno dismesse, vuol dire che non garantivano lo stesso livello di sicurezza che ti garantisce la notifica push su smartphone.
D'altronde, lo smartphone lo hai sempre con te ed è protetto da sistemi biometrici. Quindi arriva la notifica, devi sbloccare il telefono e solo dopo puoi dare la conferma.
Una chiavetta OTP invece ci premi il pulsante e hai il tuo bel codice. Mi sembra che ci siano tutti i presupposti per preferire una notifica su un dispositivo che, anche se perdi, non può essere usato da nessuno.

Io avevo molti anni fa una "calcolatrice" di bancoposta, ti posso dire che funzionava con il bancomat e occorreva inserire il pin del bancomat.

Adesso ho un Token fisico che ho richiesto espressamente alla banca e che la banca mi fa pagare 10 euro. Inoltre l'ho "rinnovato" in quanto si sono scaricate le batterie con altri 10 euro di costo. La mia banca non è contenta e in generale le banche non sono contente se non usi la loro app.

Col mio Token devo inserire un pin altrimenti non mi da l'OTP. Quindi se perdo il token non ci sono problemi se non quelli classici, il token non è immediatamente craccabile se non da un esperto.



Quoto in toto.
Io non fare mai home banking con uno smartphone Android.
Quando escono gli aggiornamenti, c'è sempre l'elenco dei dispositivi che verranno aggiornati: alcuni spesso non superano i 2 anni di garanzia del produttore. Figuriamoci quanto sono sicuri...:asd:

Concordiamo.

Ah be' quello anch'io, sono dei colabrodi di sicurezza...
:sofico:

Io non fare mai home banking con uno smartphone Android.
Quando escono gli aggiornamenti, c'è sempre l'elenco dei dispositivi che verranno aggiornati: alcuni spesso non superano i 2 anni di garanzia del produttore. Figuriamoci quanto sono sicuri...:asd:

Guarda che non c'entra niente... sono pochissimi i casi in cui c'è una violazione diretta del dispositivo.

Nella stragrande maggioranza dei casi mandano un sms che sembra inviato dal "numero della banca" in realtà semplicemente c'è l'header modificato.

Tramite quel messaggio ti fanno aprire una pagina clone del login dell'home banking della banca e sperano che ci metti user e prima password.

Successivamente ti chiamano spacciandosi per l'assistenza della banca che deve accertarsi tramite token sms che sei veramente te perché hai subito una intrusione, in realtà sono loro che fanno il login nell'home banking e tantissima gente ci casca e gli legge i token.

I casi di violazione dello smartphone sono una rarità per il semplice fatto che comunque violare lo smartphone anche se è un android non aggiornato richiede mezzi e conoscenze che comunque sono uno sforzo notevole. L'attacco che ho descritto io invece è alla portata di qualsiasi balordo.

Quindi non cambia assolutamente una ceppa se hai l'home banking su android o su altro... tanto salvo andarsele a cercare difficilmente verrai mai realmente attaccato in quel modo.

Guarda che non c'entra niente... sono pochissimi i casi in cui c'è una violazione diretta del dispositivo.

Nella stragrande maggioranza dei casi mandano un sms che sembra inviato dal "numero della banca" in realtà semplicemente c'è l'header modificato.

Tramite quel messaggio ti fanno aprire una pagina clone del login dell'home banking della banca e sperano che ci metti user e prima password.

Successivamente ti chiamano spacciandosi per l'assistenza della banca che deve accertarsi tramite token sms che sei veramente te perché hai subito una intrusione, in realtà sono loro che fanno il login nell'home banking e tantissima gente ci casca e gli legge i token.

I casi di violazione dello smartphone sono una rarità per il semplice fatto che comunque violare lo smartphone anche se è un android non aggiornato richiede mezzi e conoscenze che comunque sono uno sforzo notevole. L'attacco che ho descritto io invece è alla portata di qualsiasi balordo.

Quindi non cambia assolutamente una ceppa se hai l'home banking su android o su altro... tanto salvo andarsele a cercare difficilmente verrai mai realmente attaccato in quel modo.

Lo sa lo sa...
Lo fa apposta !
https://www.iltempo.it/attualita/2020/11/22/video/guendalina-tavassi-hackerata-rubati-video-hard-marito-umberto-denuncia-25312236/
Ops... hanno rubato dei video sozzi su un iphone, ma non era il massimo della sicurezza ?
Si, ma se si pirla lo sei sia con un android sia con un iphone:
Mi avevano mandato una mail in cui mi chiedevano di accedere al mio account, io pensavo volessero darmi la spunta blu, ho cliccato e me l’hanno rubato. Succede in questo modo.
Come si può vedere la persona che striscia le dita sul cellulare è la prima causa di furto di dati, non la marca/modello del cellulare!

§ 3. La truffa “sim swap” (ovvero tramite sostituzione della sim)

La truffa “sim swap” è una tipologia di frode informatica articolata in vari passaggi:

il punto di partenza è rappresentato dal furto delle credenziali di home banking della vittima, tramite attacco hacker (per cui è indispensabile che i dispositivi elettronici che utilizziamo per accedere ai nostri conti on-line siano adeguatamente protetti da validi antivirus);
il secondo momento di questa frode è rappresentato dal furto di identità: presentando al gestore di telefonia mobile documenti falsi, il truffatore chiede il rilascio di una nuova sim card in sostituzione di quella in uso alla vittima (di cui denuncia falsamente lo smarrimento ovvero la distruzione accidentale);
infine, utilizzando la sim card così ottenuta (e dunque il numero di telefono cellulare della vittima), il truffatore riceve dalla banca le ulteriori credenziali necessarie per operare sul conto corrente online.

Il numero di telefono è, infatti, il canale normalmente utilizzato dalle banche per comunicare codici temporanei da inserire al momento della disposizione bancaria, oltre che per notificare i movimenti e per operare controlli di sicurezza. Una volta ottenuta la sostituzione della sim, però, tutti i messaggi e le chiamate di verifica arrivano a chi sta commettendo il reato, e non al reale intestatario dell’utenza e del conto corrente ad essa collegato.

La pericolosità di questa truffa sta, dunque, nel superamento del secondo fattore di autenticazione, legato al numero di telefono e questo apre il complicato capitolo della individuazione del soggetto tenuto alla restituzione del denaro fraudolentemente sottratto.

https://www.chiarini.com/home-banking-e-sim-swap-responsabilita-della-banca-e-risarcimento/

«Quanto accaduto alla coppia assistita dal nostro Studio rivela, invece, la estrema vulnerabilità del sistema, risultato inidoneo ad impedire a terzi di introdursi illecitamente nel rapporto di conto corrente e di eseguire operazioni tali da portare ad uno svuotamento del conto in pochissimo tempo. Né la Banca è stata in grado di individuare e bloccare le operazioni, benché sospette e nonostante la pronta reazione dei titolari del conto.»

Edit: sottolineo la frase dell'avvocato cui i coniugi che hanno avuto il conto corrente svuotato si sono rivolti per sperare di avere i soldi indietro dalla Banca:

estrema vulnerabilità del sistema, risultato inidoneo ad impedire a terzi di introdursi illecitamente nel rapporto di conto corrente e di eseguire operazioni tali da portare ad uno svuotamento del conto in pochissimo tempo

inoltre i conoiugi hanno svolto tutte le operazioni in brevissimo tempo che un utente oculato avrebbe svolto ma... gli hanno svuotato il conto perché semplicemente il sistema è estremamente vulnerabile e quindi inadatto a contenere soldi di una vita.

Questo è un attacco alla persona, studiato apposta per colpire una persona che si presume mantenga una discreta cifra sul conto corrente...
E' come se ti entrano in casa e ti rubano !

Questo è un attacco alla persona, studiato apposta per colpire una persona che si presume mantenga una discreta cifra sul conto corrente...
E' come se ti entrano in casa e ti rubano !

è un tipo di truffa come le truffe che hanno mostrato altri commentatori, né più e né meno. Sul punto invece che sottolinei ovvero che sul conto corrente ci sono i soldi di una persona, tutti i soldi di una persona scopri l'acqua calda. Lo sanno anche i malviventi che fanno la truffa SIM swap.

è un tipo di truffa come le truffe che hanno mostrato altri commentatori, né più e né meno. Sul punto invece che sottolinei ovvero che sul conto corrente ci sono i soldi di una persona, tutti i soldi di una persona scopri l'acqua calda. Lo sanno anche i malviventi che fanno la truffa SIM swap.
E' un tipo di truffa studiata sulla persona, come se ti si mettono davanti casa e appena te ne vai, ti entrano in casa.

io sul conto corrente ci tengo i soldi solo per le spese minute...

Ma anche no invece!

https://focustech.it/2017/09/30/bankbot-malware-jewels-star-classic-153589


Nella stragrande maggioranza dei casi approfittano di una qualche app popolare che ti scarichi dal play store, che è un ricettacolo di malware.
Ripeto: io con un telefono Android non mi fiderei troppo ad usarlo come faccio con tutti gli smartphone Apple che possiedo.
E non sono certo l'unico che ritiene la maggiorate dei telefoni Android a rischio sicurezza...

O sta a vedere che ne sai più te che io che coi servizi bancari ci lavoro.
Quella del malware nell'app famosa ad esagerare ma ti ripeto ad esagerare rappresenterà l'1% di tutte le truffe online. E ripeto che penso di aver esagerato brutalmente.

Nel restante 99% è sempre e solo truffe "social engineering" e cioè modi in cui ti convincono a rivelargli i dati con l'inganno senza nessun hacking complesso.

Sia chiaro non sto dicendo che in assoluto non esistano anche malware ma che rappresentano una parte minima del totale e che ormai non sono vantaggiosi nemmeno per il truffatore. Infatti con il social engineering arrivi prima e su molti più conti che non tramite app che per quanto famose presuppongono che tu la cerchi, la installi, accedi all'home banking e l'home banking sia vulnerabile a quel particolare malware... insomma praticamente un sacco di lavoro anche per creare e distribuire il malware a fronte di un risultato inefficiente (per il truffatore).

https://focustech.it/2020/05/11/android-smartphone-sicurezza-281653

Scusami... usare focus come fonte... non dico che l'articolo sia ridicolo anzi buona parte è condivisibile ma per favore usiamo fonti un pochino più autorevoli soprattutto in materia finanziaria.

Alla fine dell'articolo, guarda caso, cosa ti consigliano di fare?

Ti consigliano una ovvietà e contemporaneamente una scemenza. Perché allora cosa dovremmo dire a tutti quelli che ancora usano windows XP? se non mi ricordo male è tutt'ora fra il 3 e il 4% del totale. O tutti quelli che usano windows ma crakkato? O tutti quelli che installano il software X crakkato?
NON esiste per definizione un sistema collegato alla rete che possa dirsi sicuro nemmeno se si tratta di un sistema della CIA figuriamoci un dispositivo di Mario Rossi.
La differenza tra un sistema aggiornato e uno non aggiornato incide in maniera determinate in una percentuale risibile di casi in quanto per correre rischi diretti in quel senso quasi sempre significa che si è presi di mira e non che è un attacco a caso nella massa.
Sia chiaro non sto dicendo che allora bisogna fregarsene e non fare gli aggiornamenti ma che nello specifico caso delle credenziali bancarie il 99% della sicurezza dipende dall'utente e non dal dispositivo e avere un android, apple, windows phone o qualsiasi altra cosa ti venga in mente sostanzialmente non cambia una ceppa.

Con Android, gli aggiornamenti, nella maggiorate dei casi sono una lotteria: gratti e vinci l'aggiornamento.

Ma finiamola con questi discorsi da hater o peggio da fanboy. La politica degli aggiornamenti è chiara al giorno in cui compri se poi uno non legge le condizioni e compra a casaccio non è colpa di altri se non di chi fa l'acquisto.

O sta a vedere che ne sai più te che io che coi servizi bancari ci lavoro.
Quella del malware nell'app famosa ad esagerare ma ti ripeto ad esagerare rappresenterà l'1% di tutte le truffe online. E ripeto che penso di aver esagerato brutalmente.

Nel restante 99% è sempre e solo truffe "social engineering" e cioè modi in cui ti convincono a rivelargli i dati con l'inganno senza nessun hacking complesso.

Kevin mitnck, diceva che il modo più semplice di ottenere un informazione era di chiederla !
Basta fare una semplice ricerca delle truffe subite online, che la maggiorparte riguardano filmati sozzi fregati dagli iphone, per scoprire che non il 99% ma il 99,9999999% periodico sono truffe operate con questo sistema e puoi avere il telefono aggiornato ogni giorno che se abbocchi al "sms della banca" non ti salvi !

Io l'ho chiesto tante volte ma nessuno mi ha mai risposto, io vorrei vedere UN caso in cui a causa di un telefono non aggiornato, quindi senza utilizzare il social engineering o app, ma sfruttando solamente le falle del telefono, gli sono entrati in banca e svuotato il conto !
Ovviamente non di focustech, ma un caso dimostrato e certificato.
Se me lo dimostrate, posso prendere in seria considerazione di prendere un telefono aggiornato costantemente.
Altrimenti sono chiacchere da fanboy !

Kevin mitnck, diceva che il modo più semplice di ottenere un informazione era di chiederla !
Basta fare una semplice ricerca delle truffe subite online, che la maggiorparte riguardano filmati sozzi fregati dagli iphone, per scoprire che non il 99% ma il 99,9999999% periodico sono truffe operate con questo sistema e puoi avere il telefono aggiornato ogni giorno che se abbocchi al "sms della banca" non ti salvi !

E ha ragione... sostanzialmente è la verità. Basti pensare che la gente continua ad abboccare alla mail del principe africano che vuole portare in Italia 50 milioni ma che purtroppo non li sbloccano se non paga X€ e ha scelto te: bifolco qualsiasi senza alcuna competenza per pagare questa tassa e poi regalarti X milioni.
Io ad oggi non mi spiego come la gente ci possa credere che fa ridere anche solo a scriverlo qua eppure ci cascano. Ci cascano al punto di non fargli un solo pagamento ma di insistere più e più volte.

Poi c'è la variante del prestito... ti prestano X€ a tassi stracciati ma diamine prima devi mandargli dei soldi te perché sai... la pratica va istruita.
Gente che fa debiti perché crede di ottenere poi prestiti fuori dal mondo. O peggio a sua volta truffa qualche conoscente convinta poi di potergli restituire tutto.

Per questo continuo a dire che è inutile stare a farsi le segate sugli aggiornamenti quando la più pericolosa vulnerabilità è l'essere umano. Per fare una metafora è come dire che mentre ci va a fuoco casa ci preoccupiamo di più del surriscaldamento globale.

Io l'ho chiesto tante volte ma nessuno mi ha mai risposto, io vorrei vedere UN caso in cui a causa di un telefono non aggiornato, quindi senza utilizzare il social engineering o app, ma sfruttando solamente le falle del telefono, gli sono entrati in banca e svuotato il conto !
Ovviamente non di focustech, ma un caso dimostrato e certificato.
Se me lo dimostrate, posso prendere in seria considerazione di prendere un telefono aggiornato costantemente.
Altrimenti sono chiacchere da fanboy !

Spezzo una lancia in suo favore... i casi esistono, per ovvi motivi non te ne posso fornire le prove legalmente ma esistono. Fermo restando che spesso sono comunque frutto di abitudini sbagliate.
Ad esempio vantarsi in giro o peggio sul web di avere molti soldi e di essere uno ganzo che controlla tutto dallo smartphone. Successo davvero.

Di base gli hacking "diretti" posso dire che sono quasi sempre mirati. Non è che fanno hacking di dispositivi a casaccio nella massa.
Negli altri casi la componente umana fa praticamente quasi il 100% del lavoro.

Una persona "normale", anche con un telefono non aggiornato e per non aggiornato intendo di 10 anni fa, se presta un MINIMO di attenzione non corre nessun rischio per il semplice fatto che come ho detto anche in altri post perché dovrebbero perdere tempo con un hacking che richiede conoscenze, competenze e tempo quando possono colpire nella massa e ottenere 10 volte tanto senza nemmeno aver bisogno di particolari competenze tecniche?

Una persona "normale", anche con un telefono non aggiornato e per non aggiornato intendo di 10 anni fa, se presta un MINIMO di attenzione non corre nessun rischio per il semplice fatto che come ho detto anche in altri post perché dovrebbero perdere tempo con un hacking che richiede conoscenze, competenze e tempo quando possono colpire nella massa e ottenere 10 volte tanto senza nemmeno aver bisogno di particolari competenze tecniche?

Io non mi sentirei sicuro in questo contesto che descrivi che mi sembra un effetto gregge, ovvero sentirsi sicuri quando c'è un gregge con la particolarità che viene colpito così facilmente il gregge che quello che è un po' esperto a non cadere nei tranelli, si salva. Se non ci fosse il gregge, invece, sarebbe esposto.

Ho capito quel che dici ma non è un motivo per essere esposti con i soldi di una vita al primo che passa ed è un po' furbo e sperare nell'effetto gregge che descrivi. Io non mi espongo.

Tra l'altro dici di lavorare in banca e esponi il caso di persone che sono cadute in questa truffa che si sono vantate di avere molti soldi e di gestirli tramite cellulare, dici anche che questa è una malsana abitudine che suppongo le persone furbe e intelligenti non dovrebbero avere altrimenti si viene truffati e non si sfrutta l'effetto gregge poc'anzi descritto.

Immagino che il vantarsi sia sia fisico che mediante i social ovvero Facebook e altri. C'è da ricordare che alla Regione Lazio e nella USLL Veneta sono stati sottratti ingenti dati sanitari. Non so cosa ci sia dentro ma non mi stupirei che ci siano dati economici li dentro oltre che sanitari. Quindi non è detto che sia necessario vantarsi perche un malvivente sappia che abbiamo soldi nel conto.

Ripeto io non mi sentirei tranquillo a fidarmi dell'effetto gregge.

Io non mi sentirei sicuro in questo contesto che descrivi che mi sembra un effetto gregge, ovvero sentirsi sicuri quando c'è un gregge con la particolarità che viene colpito così facilmente il gregge che quello che è un po' esperto a non cadere nei tranelli, si salva. Se non ci fosse il gregge, invece, sarebbe esposto.

Non è tanto l'effetto gregge di per se ma una banalissima analisi probabilistica. Nel mondo esistono persone che uccidono per divertimento? Probabilmente sì. Quant'è la probabilità che una di queste prende di mira me? Praticamente nessuna ma non proprio zero. Ti risulta che tutti facciano corsi di autodifesa e girino armati?

Il punto è che quando un rischio è estremamente basso non importa per quale motivo diventa un rischio che non puoi tenere in considerazione. Pensa che anche nel mondo assicurativo tali rischi sono considerati talmente fuori statistica da non essere assicurabili.

Ho capito quel che dici ma non è un motivo per essere esposti con i soldi di una vita al primo che passa ed è un po' furbo e sperare nell'effetto gregge che descrivi. Io non mi espongo.

Ripeto che io ovviamente consiglio di aggiornare il telefono e tutti i device ed è ovvio che è la scelta più opportuna da fare. Semplicemente dissento da chi ne fa un affare di stato differenziando android, apple o altro. Poi è scontato che se ci sono patch di sicurezza sia meglio farle che non farle.

Tra l'altro dici di lavorare in banca e esponi il caso di persone che sono cadute in questa truffa che si sono vantate di avere molti soldi e di gestirli tramite cellulare, dici anche che questa è una malsana abitudine che suppongo le persone furbe e intelligenti non dovrebbero avere altrimenti si viene truffati e non si sfrutta l'effetto gregge poc'anzi descritto.

No, il punto non era gestire tutto da smartphone o meno. Il punto è tenere la bocca chiusa. Puoi gestire anche milioni di Euro dallo smartphone ma non vai a raccontarlo in giro. È ovvio che se per fare lo sbruffone lo sbandieri ai 4 venti prima o poi vieni preso di mira.
Lo stesso per chi mette la cassaforte in casa e poi va a raccontarlo a giro. È la stessa identica cosa.

Immagino che il vantarsi sia sia fisico che mediante i social ovvero Facebook e altri. C'è da ricordare che alla Regione Lazio e nella USLL Veneta sono stati sottratti ingenti dati sanitari. Non so cosa ci sia dentro ma non mi stupirei che ci siano dati economici li dentro oltre che sanitari. Quindi non è detto che sia necessario vantarsi perche un malvivente sappia che abbiamo soldi nel conto.

Non è questione di sapere se hai o no soldi nel conto. Per quello sicuramente hanno degli "insider" nelle banche e quei dati li recuperano senza bisogno di niente di così complesso.
Il punto è venire a sapere esattamente quale device controlla quale conto. Se te ti vanti che con il tuo ultimo telefonino controlli tutti i tuoi averi è molto più probabile essere presi di mira.

Ripeto io non mi sentirei tranquillo a fidarmi dell'effetto gregge.

E quindi? La soluzione quale sarebbe? Ti assicuro che se anche ogni anno comprassi l'ultimissimo modello di smartphone oltre a subire una rapina di altro tipo non saresti chissà quanto più al sicuro.

E quindi? La soluzione quale sarebbe? Ti assicuro che se anche ogni anno comprassi l'ultimissimo modello di smartphone oltre a subire una rapina di altro tipo non saresti chissà quanto più al sicuro.

Discorsi ragionevoli quelli che fai. Non rispondo punto si punto ma il discorso sulla sicurezza personale può avere un senso ma coinvolge molti altre aspetti tra cui quello relazionale. Comunque i soldi sul conto sono una realtà oggettiva che prima dei cellulari non era svaligiabile. Dopo l'avvento della PSD2 si è detto che con i sistemi di sicurezza imposti i soldi potevano essere tenuti tranquillamente sul cellulare. Ecco, se leggi i precedenti post che ho scritto allora capirai che per me questo non è vero.

La soluzione? non è certo quello di rassicurarsi di essere un bersaglio poco probabile perché prima di noi vengono molti altri utonti che cliccano dovunque e danno le credenziali a cani e porci tanto che basta chiederglielo tramite una email o un SMS contraffatto.

Io voglio una soluzione tangibile non una soluzione filosofica come quella che ho esposto. Partendo dal presupposto che un Computer sicuro è un computer spento e con la spina staccata tutto il resto viene da se. La soluzione è il 2FA che vuol dire che ci sono due dispositivi fisici uno dei quali craccabile solo fisicamente e un altro esposto on line ma tenuto aggiornato settimana dopo settimana con bassa probabilità di venire attaccato, quindi non always on e con un S.O. non facente parte della massa per avere l'effetto gregge dalla propria parte.

Se mi craccano il PC ho il secondo fattore di autenticazione e sono ok. Il secondo fattore non può essere una SIM la quale è duplicabile con un documento falso. Deve essere qualche cosa in mio esclusivo possesso e che per averne un sostituto sia una procedura lenta e plurisegnalata. Meglio ancora l'autenticazione a tre fattori: Token fisico, SMS su cellulare e PC con le credenziali della banca.

Io ne faccio una questione logica più che di hater e fanboy: un telefono che non viene aggiornato, presenta un lato debole che è facilmente sfruttabile.

È molto, molto relativo questo ragionamento anche perché la stragrande maggioranza delle patch di sicurezza dei telefoni riguarda eventuali danni al telefono stesso e solo in piccolissima parte falle sfruttabili per ottenere accesso all'homebanking comunque come ho già scritto è ovvio che è meglio avere un telefono aggiornato che no.

Io tra conti deposito e conti corrente non dico che sono milionario ma non sono manco con le pezze al culo.

Non te lo vorrei dire ma corri più rischi a scrivere in chiaro e su un forum pubblico una frase del genere che non a essere indietro nelle patch di sicurezza. Una frase del genere ha già fatto trapelare 2 informazioni chiave: il tuo nickname, il fatto che hai soldi sul c/c e in misura considerevole e le tue propensioni.
Hai già corso un rischio senza rendertene conto. Sarai preso di mira? La probabilità è bassa ma è comunque più elevata di uno che semplicemente non ha aggiornato il telefono.

E voglio essere ragionevolmente sicuro che i miei dati, sono davvero in una sorta di cassaforte dove le chiavi le ho io, e le ha chi deve occuparsi di tenermi aggiornato il telefono. ;)

Ripeto... anche se avessi sempre l'ultimissimo modello e l'ultimissima patch di sicurezza tutto quello che è nel telefono NON è mai al 100% sicuro. NON ESISTE sistema online che sia inviolabile.

Discorsi ragionevoli quelli che fai. Non rispondo punto si punto ma il discorso sulla sicurezza personale può avere un senso ma coinvolge molti altre aspetti tra cui quello relazionale. Comunque i soldi sul conto sono una realtà oggettiva che prima dei cellulari non era svaligiabile. Dopo l'avvento della PSD2 si è detto che con i sistemi di sicurezza imposti i soldi potevano essere tenuti tranquillamente sul cellulare. Ecco, se leggi i precedenti post che ho scritto allora capirai che per me questo non è vero.

Non è proprio del tutto giusto... :D perdonami ma penso sia interessante prendere spunto e raccontare qualche cosa della materia.

Un tempo c'era la così detta sostituzione di persona: in pratica tu avevi il conto alla banca X filiale di Milano. Il malintenzionato andava a ridosso dell'orario di chiusura o con l'aiuto di un complice alla stessa banca ma filiale di Roma. A quel punto mostrava un documento falso ma con tutti i tuoi dati e dicendo che era in vacanza chiedeva di prelevare. Spesso a ridosso dell'orario di chiusura fare i controlli era difficile, il documento era credibile, i dati corrispondevano tutti e ti facevano prelevare.
Una variante è quella del falso circolare che hanno trattato anche a striscia la notizia che è un po' più complessa perché c'è la necessità di un complice in grado di intercettare la chiamata per il bene emissione ma anche questa non era così rara.
In generale le truffe ci sono sempre state anzi prima del digitale erano anche più brutali perché in alcuni casi ti mandavano sconfinato e quindi non solo avevi perso i soldi che avevi ma anche quelli che non avevi.

La soluzione? non è certo quello di rassicurarsi di essere un bersaglio poco probabile perché prima di noi vengono molti altri utonti che cliccano dovunque e danno le credenziali a cani e porci tanto che basta chiederglielo tramite una email o un SMS contraffatto.

I più giovani sono passati all'autenticazione biometrica tramite notifica in app che è una bella misura di sicurezza.

Io voglio una soluzione tangibile non una soluzione filosofica come quella che ho esposto. Partendo dal presupposto che un Computer sicuro è un computer spento e con la spina staccata tutto il resto viene da se. La soluzione è il 2FA che vuol dire che ci sono due dispositivi fisici uno dei quali craccabile solo fisicamente e un altro esposto on line ma tenuto aggiornato settimana dopo settimana con bassa probabilità di venire attaccato, quindi non always on e con un S.O. non facente parte della massa per avere l'effetto gregge dalla propria parte.

La cosa migliore ad oggi disponibile come ho detto sopra è la notifica in app con autenticazione biometrica. Più login tramite password complessa da cambiare ogni tot giorni ma già qua la gente mette password assurde e talmente facili che spesso le indovini entro 10 tentativi quindi è tutto dire.

Se mi craccano il PC ho il secondo fattore di autenticazione e sono ok. Il secondo fattore non può essere una SIM la quale è duplicabile con un documento falso. Deve essere qualche cosa in mio esclusivo possesso e che per averne un sostituto sia una procedura lenta e plurisegnalata. Meglio ancora l'autenticazione a tre fattori: Token fisico, SMS su cellulare e PC con le credenziali della banca.

2FA condivido, 3FA avresti gran parte della gente che rinuncia all'home banking. Già oggi convincerli a usare 2FA è complicato figurati usarne 3 di cui uno fisico. Convinceresti solo pochissimi e quei pochissimi sarebbero quelli particolarmente attenti e quindi quelli a cui probabilmente meno serve.

E ha ragione... sostanzialmente è la verità. Basti pensare che la gente continua ad abboccare alla mail del principe africano che vuole portare in Italia 50 milioni ma che purtroppo non li sbloccano se non paga X€ e ha scelto te: bifolco qualsiasi senza alcuna competenza per pagare questa tassa e poi regalarti X milioni.
Io ad oggi non mi spiego come la gente ci possa credere che fa ridere anche solo a scriverlo qua eppure ci cascano. Ci cascano al punto di non fargli un solo pagamento ma di insistere più e più volte.

Poi c'è la variante del prestito... ti prestano X€ a tassi stracciati ma diamine prima devi mandargli dei soldi te perché sai... la pratica va istruita.
Gente che fa debiti perché crede di ottenere poi prestiti fuori dal mondo. O peggio a sua volta truffa qualche conoscente convinta poi di potergli restituire tutto.

Per questo continuo a dire che è inutile stare a farsi le segate sugli aggiornamenti quando la più pericolosa vulnerabilità è l'essere umano. Per fare una metafora è come dire che mentre ci va a fuoco casa ci preoccupiamo di più del surriscaldamento globale.

E qui non potrei essere più d'accordo con te...


Spezzo una lancia in suo favore... i casi esistono, per ovvi motivi non te ne posso fornire le prove legalmente ma esistono. Fermo restando che spesso sono comunque frutto di abitudini sbagliate.
Ad esempio vantarsi in giro o peggio sul web di avere molti soldi e di essere uno ganzo che controlla tutto dallo smartphone. Successo davvero.

Ah bè questo allora è un tizio che se li è voluti far fregare...
Anche qui in paese, si parla di un tizio che vendette la casa della mamma e andava al bar mostrando quanto aveva guadagnato, poi si è fatto avanti il classico finto broker finanziario e ciaone !
Io intendo, prendo un telefono, che ne so con android 5 o 6, ci metto sopra solo l'app della banca/posta, e le classiche app, non ne scarico ne installo, e non rispondoi agli sms, possibilità che mi venga hackerato il telefono ?
Forse meno di quelle di prendere il superenalotto.


Una persona "normale", anche con un telefono non aggiornato e per non aggiornato intendo di 10 anni fa, se presta un MINIMO di attenzione non corre nessun rischio per il semplice fatto che come ho detto anche in altri post perché dovrebbero perdere tempo con un hacking che richiede conoscenze, competenze e tempo quando possono colpire nella massa e ottenere 10 volte tanto senza nemmeno aver bisogno di particolari competenze tecniche?
Appunto come detto sopra !

io sugli strumenti finanziari sul cellulare ci tengo solo pochi soldi, il minimo.

io sugli strumenti finanziari sul cellulare ci tengo solo pochi soldi, il minimo.


Ecco questa è pure la mia idea. Io sul cellulare ci tengo solo i soldi per fare un po' di spese correnti. Secondo me è naïve tenere il conto corrente nel cellulare: ti può andare bene ma c'è una bassa probabilità che ti vada male. In quel caso ha perso tutto e ti rimane solo da fare causa alla banca (se hai i soldi per la causa). Quindi a che pro? per fare un bonifico quando sei in auto a guidare? Perché non hai un PC? perché devi pagare i bollettini quando sei al ristorante con il C/C?

Sinceramente non c'è un motivo serio o che valga la candela. La gente tiene il C/C sul cellulare perché gli hanno detto che è sicuro e ci credono e quindi lo fanno. In realtà il prodotto tra i soldi che hanno nel conto e il rischio non è trascurabile.

Non te lo vorrei dire ma corri più rischi a scrivere in chiaro e su un forum pubblico una frase del genere che non a essere indietro nelle patch di sicurezza. Una frase del genere ha già fatto trapelare 2 informazioni chiave: il tuo nickname, il fatto che hai soldi sul c/c e in misura considerevole e le tue propensioni.
Hai già corso un rischio senza rendertene conto. Sarai preso di mira? La probabilità è bassa ma è comunque più elevata di uno che semplicemente non ha aggiornato il telefono.

Assolutamente vero !
Vai a dire in giro che hai quella certa macchina, quella certa bici, quel certo pc ecc.ecc..
Poi con la mania che c'è ora di postare ogni momento della propria vita sui social, chi ti vuole prendere di mira ha tutti gli strumenti per farlo, non gli serve a nulla che il telefono non sia aggiornato.

Sinceramente non c'è un motivo serio o che valga la candela. La gente tiene il C/C sul cellulare perché gli hanno detto che è sicuro e ci credono e quindi lo fanno. In realtà il prodotto tra i soldi che hanno nel conto e il rischio non è trascurabile.
Più che altro, la gente non si rende conto che è uno strumento delicato, che va trattato in un certo modo

La cosa migliore ad oggi disponibile come ho detto sopra è la notifica in app con autenticazione biometrica. Più login tramite password complessa da cambiare ogni tot giorni ma già qua la gente mette password assurde e talmente facili che spesso le indovini entro 10 tentativi quindi è tutto dire.

Mi potresti spiegare perché è più sicura un'app che il token fisico con tastiera per PIN? Chiedo da ignorante, non per polemica.

Mi potresti spiegare perché è più sicura un'app che il token fisico con tastiera per PIN? Chiedo da ignorante, non per polemica.

L'app non è più sicura. Al massimo può essere relativamente più sicura, dipende da quanti soldi sei disposto a perdere in cambio di avere il conto corrente sul cellulare. Sarà improbabile come dice Darkon.

Mi potresti spiegare perché è più sicura un'app che il token fisico con tastiera per PIN? Chiedo da ignorante, non per polemica.

Perché 1 cliente su 3 va a finire che tiene username, password e token insieme.

Diciamo per fare un paragone come quelli che scrivono il pin del bancomat sul retro della carta.

Quando parliamo di queste cose va tenuto conto della sicurezza ma anche di quello che la gente sa gestire e come lo gestisce.

Ad esempio in banca fu sperimentato il token fisico ma poi capitava che gli rubavano la borsa e avevano il foglietto con user e password più il token motivo per il quale ormai il token lo hanno abbandonato tutti o quasi.

Perché 1 cliente su 3 va a finire che tiene username, password e token insieme.

Diciamo per fare un paragone come quelli che scrivono il pin del bancomat sul retro della carta.

Quando parliamo di queste cose va tenuto conto della sicurezza ma anche di quello che la gente sa gestire e come lo gestisce.

Ad esempio in banca fu sperimentato il token fisico ma poi capitava che gli rubavano la borsa e avevano il foglietto con user e password più il token motivo per il quale ormai il token lo hanno abbandonato tutti o quasi.

Quindi il discorso è sempre il solito: non è un problema di tecnologia ma dell'utonto...


Ps
Non l'ho scritto prima, ma anche io non uso home banking nel telefonino, solo l'app della Postepay dove non ho mai più di 100 euro

Semplicemente, il 13 gennaio 2018 è entrata in vigore la Direttiva PSD2, in sostituzione della vecchia PSD in materia di servizi di pagamento, che mira a promuovere lo sviluppo di un mercato interno dei pagamenti al dettaglio efficiente, sicuro e competitivo, rafforzando la tutela degli utenti, sostenendo l’innovazione e implementando il livello di trasparenza e di sicurezza dei pagamenti elettronici.
Il Token, come giustamente è stato spiegato, non era più sicuro rispetto, ad esempio, al messaggio PUSH che arriva sul telefono e dove è l'utilizzatore dello stesso che da la conferma. Quindi si presume che sia fisicamente davanti al telefono prima di entrare sulla home banking da qualsiasi dispositivo sparso nella terra.

Infatti ho scritto "token fisico con tastiera per PIN", che a quanto mi risulta è conforme alla PSD2

Non l'ho scritto prima, ma anche io non uso home banking nel telefonino, solo l'app della Postepay dove non ho mai più di 100 euro

Saggia decisione.

La seconda: evita di usare un dispositivo che non viene più aggiornato.
Per la seconda, se lo usi ugualmente e ti svuotano il conto, sei utonto alla pari di chi risponde alle mail di pishing per cui la banca potrà fare ben poco, del resto: ti avevano avvisato..:asd:

Questa te la sei inventata...
La mia banca, ti chiede anzi, ti obbliga ad avere l'ultima versione della loro app, se li telefoni per qualche problema la prima cosa che ti chiedono è se l'app è aggiornata, mai nessuno mi ha chiesto se il telefono è aggiornato, anche perchè se questa fosse una richiesta ufficiale, dovrebbero specificare, cosa si intende esattamente per telefono aggiornato.
e anche andando a vedere le altre banche, la prima a caso,
https://www.bancamediolanum.it/i-tempi-corrono/usare-lo-smartphone-come-portafoglio
non mi pare che citino questa cosa.
Poi concludo questa inutile perdita di tempo e byte, dicendo che se sei convinto che il telefono aggiornato al day zero sia indispensabile, padronissimo di crederlo, nessuno ti vuole convincere del contrario, ma non spacciarla come una verità assoluta.

Sicuro che me la sono inventata...
La mia banca, consiglia di tenere aggiornati i dispositivi per collegarti e non solo l'app.
Tra l'altro, faccio notare la cazzata che hai scritto, perché l'app di home banking manco funziona se non è aggiornata, per cui sei obbligato ad aggiornarla..:ahahah:

Comunque, aggiungo altre fonti dove il consiglio non cambia di una virgola:

:read:

Attenzione: metà degli smartphone italiani non è sicura per l'home banking (https://www.wired.it/economia/business/2018/01/08/smartphone-home-banking-online/)

A parte che è un articolo del 2018... e quindi parte delle informazioni che contiene non sono più corrette. Di conseguenza linkare e diffondere stralci senza sottolineare che essendo del 2018 potrebbero non essere più corretti non mi sembra un gran lavoro.

Detto ciò frasi come "E senza aggiornamenti di sicurezza, le informazioni riservate dello smartphone sono alla mercé degli hacker. Comprese quelle bancarie." è puro allarmismo.
Non è che un telefono non aggiornato equivale al ragazzino che si scarica Kali linux e crede di essere diventato come un hacker dei film che lancia una shell scrive crack wifi e bam è craccato.
Craccare un telefono anche non aggiornato non è semplice e spesso per non dire quasi sempre accedono solo a parte del telefono e non proprio a tutto. Ancora più difficile è riuscire ad avere un controllo totale dei dati dell'app dell'home banking.

Se fosse così banale considerato che c'è chi usa versioni di android antecedenti alla 4.4 a quest'ora ci sarebbero conti azzerati a man bassa. Se ciò non avviene è proprio perché anche telefoni incredibilmente vecchi e non aggiornati non sono così banali da hackerare.

Ripeto è OVVIO che sia meglio avere terminali aggiornati ma perdonami se te lo dico, te ne fai una questione esagerata come se senza l'ultimissima patch di sicurezza ci fossero gli hacker di tutto il mondo lì pronti ad aspettarti.

A parte che è un articolo del 2018... e quindi parte delle informazioni che contiene non sono più corrette. Di conseguenza linkare e diffondere stralci senza sottolineare che essendo del 2018 potrebbero non essere più corretti non mi sembra un gran lavoro.

Detto ciò frasi come "E senza aggiornamenti di sicurezza, le informazioni riservate dello smartphone sono alla mercé degli hacker. Comprese quelle bancarie." è puro allarmismo.
Non è che un telefono non aggiornato equivale al ragazzino che si scarica Kali linux e crede di essere diventato come un hacker dei film che lancia una shell scrive crack wifi e bam è craccato.
Craccare un telefono anche non aggiornato non è semplice e spesso per non dire quasi sempre accedono solo a parte del telefono e non proprio a tutto. Ancora più difficile è riuscire ad avere un controllo totale dei dati dell'app dell'home banking.

Se fosse così banale considerato che c'è chi usa versioni di android antecedenti alla 4.4 a quest'ora ci sarebbero conti azzerati a man bassa. Se ciò non avviene è proprio perché anche telefoni incredibilmente vecchi e non aggiornati non sono così banali da hackerare.

Ripeto è OVVIO che sia meglio avere terminali aggiornati ma perdonami se te lo dico, te ne fai una questione esagerata come se senza l'ultimissima patch di sicurezza ci fossero gli hacker di tutto il mondo lì pronti ad aspettarti.

Non avrei saputo rispondere meglio...mi dispiace dirlo anche a me ma certi interventi "allarmistici" sono quanto mai esagerati. Praticamente passa il messaggio che se non si è esperti del settore o sistemisti, l'unico smartphone acquistabile per l'utente "normale" sia un iphone. Cosa non vera. Basterebbe un minimo, ma proprio un minimo di formazione sullo strumento che si sta usando e non ci sarebbero problemi di sorta. E comunque, sui computer si potrebbe applicare lo stesso ragionamento. Ma ad ogni modo anche apple ha avuto e ha la sua buona dose di rischio. Non è affatto immune come taluni sono convinti dalle minacce informatiche...:rolleyes:

Sicuro che me la sono inventata...
La mia banca, consiglia di tenere aggiornati i dispositivi per collegarti e non solo l'app.

Consigliare ci sta, anch'io consiglio se possibile di utilizzare dispositivi aggiornati, anche tu lo fai e anche darkon lo fa...
Ma consigliare è una cosa, fare credere che sia indispensabile pena essere invasi da hacker è disinformazione pura, o se la vuoi mettere pubblicità occulta per apple.


Non è indispensabile ma è utile se vuoi operare con un certo margine di sicurezza sul tuo conto corrente e senza paranoie del tipo: "io sugli strumenti finanziari sul cellulare ci tengo solo pochi soldi, il minimo".

Io non ci tengo poco, perchè ho paura che mi entrino nel cellulare, ci tengo poco perchè ne ho pochi... ( seguo il consiglio di darkon, profilo basso ) :D

Approfitto del topic per fare una domanda sugli aggiornamenti : il mio smartphone Samsung A40 mi propone aggiornamento ad Android 11, è un bel po' che la notifica è lì, ma non ho proceduto poichè leggendo sul web non ho trovato riscontri molto positivi ... e, per quel poco che faccio con il telefono, va bene così. E' il caso di aggiornare ? Non vorrei che la notifica sparisse e poi, tra un certo tempo, fosse necessario avere Android 11 per usare qualche applicazione indispensabile.

Alle problematiche di sicurezza non ho mai pensato, effettivamente.

Approfitto del topic per fare una domanda sugli aggiornamenti : il mio smarphone Samsung A40 mi propone aggiornamento ad Android 11, è un bel po' che la notifica è lì, ma non ho proceduto poichè leggendo sul web non ho trovato riscontri molto positivi ... e, per quel poco che faccio con il telefono, va bene così. E' il caso di aggiornare ? Non vorrei che la notifica sparisse e poi, tra un certo tempo, fosse necessario avere Android 11 per usare qualche applicazione indispensabile.

Io ho passato il mio da 10 a 11 da tanto tempo e non è cambiato praticamente nulla...
Tranne qualcosina più che altro a livello grafico, non ho riscontrato altre differenze sostanziali nel suo utilizzo.
ma è diverso dal tuo è uno xiaomi mi9 t pro.

Approfitto del topic per fare una domanda sugli aggiornamenti : il mio smartphone Samsung A40 mi propone aggiornamento ad Android 11, è un bel po' che la notifica è lì, ma non ho proceduto poichè leggendo sul web non ho trovato riscontri molto positivi ... e, per quel poco che faccio con il telefono, va bene così. E' il caso di aggiornare ? Non vorrei che la notifica sparisse e poi, tra un certo tempo, fosse necessario avere Android 11 per usare qualche applicazione indispensabile.

Alle problematiche di sicurezza non ho mai pensato, effettivamente.

Io utilizzavo da un po' android 11 e non ho avuto particolari problemi anche quando ho fatto l'aggiornamento al 12 non ho riscontrato app che avevano problemi o altri problemi evidenti.

Non so i pareri che hai letto online di cosa si lamentassero... eventualmente prova a scrivermi le più comuni e ti faccio sapere però ripeto io per tutto il tempo che l'ho usato prima di passare al 12 non ho avuto problemi evidenti.

Semmai mi chiedo se valga la pena ora come ora passare all'11 invece di andare direttamente al 12. A occhio e croce non dovresti più essere in garanzia quindi puoi installare senza tante paure una custom rom che ormai non è particolarmente più difficile che fare un normale aggiornamento.

Nota bene: non per forza significa dover anche fare il root se non ti interessa. Quello valutalo te se farlo o no.

Nota bene: non per forza significa dover anche fare il root se non ti interessa. Quello valutalo te se farlo o no.
Ecco il root può essere davvero pericoloso, se utilizzi il cellulare in ambito banking, infatti spesso le app se lo trovano attivo impediscono all'app di funzionare.

In generale, è lamentata minore fluidità. Il telefono è fuori garanzia da un paio di mesi, ma vorrei evitare avventure con il Root. Certo, mi rode non poter avere , per default, il controllo del *mio* dispositivo. Installassi ora l'aggiornamento, non credo potrei tornare indietro.

Non ho tempo di cercarne uno più recente in una news dove c'è un eloquente titolo: Brata pericoloso tojan bancario.

E di nuovo, è un troian che si attiva se dai retta a quello che ti dice di fare l'sms che pare arrivare dalla banca, e a questo punto che tu abbia il telefono aggiornato alle patch 0-day, non conta assolutamente nulla !
Non è che se hai il telefono aggiornato, mentre stai per cliccare, esce una mano dal telefono e ti da una sberla !

Detto questo: io come ho detto ne faccio una questione di primaria importanza, senza celarmi dietro al fatto che "c'è chi usa versioni di android antecedenti alla 4.4 a quest'ora ci sarebbero conti azzerati a man bassa".
Perché come hai avuto modo di leggere, molti tra quelli intervenuti sul C/C hanno palesemente dichiarato di lasciarci poco o nulla.

Questo lascia presagire che sul tuo ci siano un tot di zeri, a sinistra della virgola , oh meglio per te se è così !

Se non lo usi per operazioni importanti, per me, puoi anche ignorare l'aggiornamento.

Riceve le "OTP" per le operazioni bancarie, che eseguo comunque sempre da PC.

Non mi risulta che sia un qualcosa che abbia a che fare solo con gli SMS...

Parte tutto da li...


Adesso sta a vedere che in un sito dove si parla di schede video, macchine fotografiche, computer Apple, Iphone e auto elettriche ci sono solo poveracci che vivono di stenti e hanno tempo da perdere con Brata e il trojan bancario...
Se vuoi fare lo gnorri, con me non attacca. A me come ho detto, non fanno certo paura i delinquetelli hacker del web 2.0.
Se mi vengono a cercare, li aspetto a braccia aperte...:asd: :asd:

Quindi dalla tua reazione abbiamo la conferma che ci sono...
Il problema è che gli hacker non vengono da te di persona e quindi li puoi menare, se vengono lo fanno tramite la fibra o tramite onde radio e li la tua prestanza fisica, non serve.

Non ho tempo di cercarne uno più recente in una news dove c'è un eloquente titolo: Brata pericoloso trojan bancario. Resta il fatto che, da 2018 al 2022 non è cambiato nulla: la regola principale e che ti tocca sempre tenere aggiornati i dispositivi che utilizzi.
Detto questo: io come ho detto ne faccio una questione di primaria importanza, senza celarmi dietro al fatto che "c'è chi usa versioni di android antecedenti alla 4.4 a quest'ora ci sarebbero conti azzerati a man bassa".
Perché come hai avuto modo di leggere, molti tra quelli intervenuti sul C/C hanno palesemente dichiarato di lasciarci poco o nulla.
Di sicuro, se spariscono 1.000€ non sarà un grosso problema e, probabilmente, non lo verrai mai a sapere. Se ne spariscono 10.000 poco per volta, il discorso cambia.
Io preferisco tenere aggiornati tutti i dispositivi con cui mi collego all'home banking: indipendentemente se si chiamano Iphone oppure MacBook.

Guarda che Brata non c'entra niente con quello che stai dicendo. Ti spiego Brata:

1) Arriva classico SMS che sembra inviato dalla tua banca che ti invita a scaricare e installare un APK o un DEX per "sicurezza" fai conto con nomi tipo antivirus, antispam e simili.

2) Lo installi e nessun ripeto nessun telefono ti può fermare perché i file sono legittimamente firmati e non c'è patch di sicurezza che possa intervenire. A quel punto ti chiede i permessi per accedere a sms e compagnia bella.

3) Attende che tu faccia un login e tramite un overlay carpisce user e pass; a quel punto dato che gli hai dato l'accesso agli sms un eventuale truffatore carpisce anche l'sms di autenticazione a 2 fattori.

In tutto questo le patch di sicurezza o l'hacking non c'entrano niente perché se non installi te l'apk/dex e non gli dai i permessi non succede assolutamente niente.
Allo stesso modo il pacchetto è indistinguibile da un apk legittimo e quindi nessuna patch di sicurezza ti dirà alcunché se tenti di installarlo.

Ripeto Brata non è un virus vero e proprio è più un sistema simile al clonare la login page su PC. Non può essere rilevato facilmente proprio perché non è che compie azioni per cui sia chiaramente un virus e ci sono tante app che possono leggere, legittimamente, gli sms.
Quindi o togli quel tipo di permesso del tutto oppure sta all'utente saper discernere quando darli.

Ecco il root può essere davvero pericoloso, se utilizzi il cellulare in ambito banking, infatti spesso le app se lo trovano attivo impediscono all'app di funzionare.

Vero che alcune app non funzionano sui dispositivi rooted, ma si può impedire a quelle app di rilevarlo (il rooting). È anche vero che un dispositivo con i privilegi di root e le giuste app correttamente configurate IMHO può anche essere più sicuro di telefonini non rooted. P.es. installando un firewall è possibile concedere l'accesso ad internet solo alle app che ne hanno effettivamente necessità; anche app che permettono una gestione approfondita dei permessi e servizi sono piuttosto utili


Ps
Per evitare fraintendimenti sottolineo IMHO

Vero che alcune app non funzionano sui dispositivi rooted, ma si può impedire a quelle app di rilevarlo (il rooting). È anche vero che un dispositivo con i privilegi di root e le giuste app correttamente configurate IMHO può anche essere più sicuro di telefonini non rooted. P.es. installando un firewall è possibile concedere l'accesso ad internet solo alle app che ne hanno effettivamente necessità; anche app che permettono una gestione approfondita dei permessi e servizi sono piuttosto utili


Ps
Per evitare fraintendimenti sottolineo IMHO

"imho" al 100% anch'io....utilizzo i privilegi di root da sempre...mi piace avere il controllo su quello che possiedo (almeno maggior controllo). Io lo vedo come un valore aggiunto, non come una minaccia alla mia sicurezza...anzi !

Mmh...Io allora lo aggiornerei per una maggior sicurezza.


Finirà che farò così. Se non altro per far sparire quella fastidiosa notifica.

Vero che alcune app non funzionano sui dispositivi rooted, ma si può impedire a quelle app di rilevarlo (il rooting). È anche vero che un dispositivo con i privilegi di root e le giuste app correttamente configurate IMHO può anche essere più sicuro di telefonini non rooted. P.es. installando un firewall è possibile concedere l'accesso ad internet solo alle app che ne hanno effettivamente necessità; anche app che permettono una gestione approfondita dei permessi e servizi sono piuttosto utili


Ps
Per evitare fraintendimenti sottolineo IMHO

"imho" al 100% anch'io....utilizzo i privilegi di root da sempre...mi piace avere il controllo su quello che possiedo (almeno maggior controllo). Io lo vedo come un valore aggiunto, non come una minaccia alla mia sicurezza...anzi !

Sei sei capace, sicuramente ti permette un maggior controllo, ma se lo abiliti "solo per averlo", puoi fare danni e anche grossi.

Il problema è il tuo invece.
Io non uso Android che è evidentemente il più facile da bucare per gli Hacker.
Quindi fai bene e tenere sul conto solo 100€...:asd:



La cosa che ho sempre detestato di Android è proprio questa: se non gli dai te, se non lo fai te. Somma...sei sempre te che sbagli alla fine della fiera.
Pensa che su IOS non puoi sbagliare manco per sbaglio.
Non esiste nulla che tu possa installare al di fuori dello store, neppure per sbaglio. Potresti dare in mano lo smartphone al più imbranato che, difficilmente potrebbe combinare danni.
Capisci perché evito di usare Android per collegarmi alla banca? Semplicemente, non mi fido e non mi sono mai fidato.
È un sistema che presenta troppi punti deboli. Non esiste che mi arriva un SMS dove mi chiede di installare un APK. Imho....Non dovrebbe essere proprio possibile installare nulla che non sia stato passato al setaccio dallo store. Nulla, neppure se uno ci clikka per sbaglio perché è un perfetto imbranato informatico. E chi usa gli smartphone è spesso una persona che capisce poco o nulla di certe dinamiche: andrebbe messa nelle condizioni tali di non poter far danni ma nelo stesso tempo dovrebbe poter usare gli strumenti che usano tutti e in tutta sicurezza.

A volte penso che sei sponsorizzato da apple per come ne parli, in quanto negare l’evidenza è oltre il fanboysmo vero e proprio…
Nel mio post https://www.hwupgrade.it/forum/showpost.php?p=47727488&postcount=24
Ho posto alla tua attenzione un caso di phishing attuato contro un iphone, attacco che come puoi vedere è andato a buon fine e tu che sei bravo a cercare le cose in rete, di casi come questo ne troverai a decine!
Quindi non è assolutamente vero che sia impossibile combinare danni con un iphone, altrimenti questi casi non esisterebbero, diciamo che gli è andata bene che si sono accontentati di fregarli i video sozzi, ma potevano benissimo fregarli altre cose.

Quindi chi è incapace di intendere e di volere, anche se si prende l’ultimo iphone con le ultime patch, se lo inchiappettano tranquillamente!
Temi di non essere capace di non cliccare su un sms ricevuto quindi ti prendi un iphone ?
Tieni tranquillamente xxxxx euro sul tuo !

Il tuo post manco l'ho letto perché non c'entra una ceppa di nulla di quello che si sta discutendo qua dentro. :O

Hai fatto bene, del resto non avresti alcun modo di controbattere, quindi l'unica tecnica che puoi usare è appunto quella del "non mi interessa".

Anche perchè si parla di qualcosa che distrugge gli android tu hai un iphone quindi sei in una gabbia di adamantio dentro la fortezza della solitudine e niente e nessuno ti può raggiungere.
:sofico:

Sei sei capace, sicuramente ti permette un maggior controllo, ma se lo abiliti "solo per averlo", puoi fare danni e anche grossi.

Ovviamente, ma ormai più o meno mi conosci "tecnicamente/filosoficamente" e la risposta dovrebbe essere scontata, lo utilizzo a ragion veduta e con la massima attenzione. L'esempio del firewall è uno dei più calzanti. Oppure il poter utilizzare altre funzioni avanzate che solitamente sono precluse a chi non ha effettuato il rooting. Niente di preimpostato ovviamente. Devo essere io ogni volta a consentire alle app che lo chiedono, terminale compreso, di poter andare di "su". ;)

Pensa che io, dopo che hanno hackerato alcuni NAS Qnap ho disabilitato l'utente Admin e tutto quello che non mi serve al solo fine del backup di dati.
Anche a me piace avere maggior controllo, ma il problema poi è che lo potrebbero avere anche gli altri approfittando di eventuali falle/punti deboli.

Nas ? I miei assolutamente non hanno NULLA esposto in internet, a nessun livello. Li accendo per fare i backup (e sono per la precisione backup di backup), appena finito stacco tutto, rete e corrente elettrica. E anche i miei stanno in location differenti dalle origini dei dati. Aggiungo che sono nas di una certa età quindi sarebbe da suicidio tenerli esposti direttamente con una porta sull'ip pubblico. Per l'amor di Dio...

....ai miei files (solo una parte) accedo via vpn, tra poco imposterò anche il fattore a doppia autenticazione.

Per uno che come esempio, non riesce a trovare nient'altro che 4 sgallettate del grande fratello a cui gli ciulano le foto delle tette rifatte, c'è ben poco da controbattere...:ahahah:

Infatti ho scritto che tu che sei bravo a cercare le cose in internet, ne potresti trovare a decine di questi casi.

....pensare che nei primi anni del 2000 trovavi la gente che collegata con windows 98/me/2000 aveva addirittura "c" condiviso ad everyone. Con chiunque che facesse un port scanning che accedeva, copiava, cancellava e modificava allegramente ! :doh:

Sembra ieri...:(

Ovviamente, ma ormai più o meno mi conosci "tecnicamente/filosoficamente" e la risposta dovrebbe essere scontata
Ma infatti non era assolutamente rivolta a te, era in senso generale, so benissimo che lo usi come va usato !
ma qui purtroppo c'è gente che gli si dovrebbe impedire di aprire le email e gli sms.

....pensare che nei primi anni del 2000 trovavi la gente che collegata con windows 98/me/2000 aveva addirittura "c" condiviso ad everyone. Con chiunque che facesse un port scanning che accedeva, copiava, cancellava e modificava allegramente ! :doh:

Sembra ieri...:(

La porta 139 aperta, sai con i miei amici quanti ne abbiamo visti di pc ?

La porta 139 aperta, sai con i miei amici quanti ne abbiamo visti di pc ?

E non solo quella...quando si spengevano i Windows 2000 a tradimento con il sasser, se non ricordo male...? Ne è veramente passata TANTA di acqua sotto i ponti...

E non solo quella...quando si spengevano i Windows 2000 a tradimento con il sasser, se non ricordo male...? Ne è veramente passata TANTA di acqua sotto i ponti...

Si come si chiamava, autoritative entity o qualcosa del genere che decideva di spegnere il pc.

La cosa che ho sempre detestato di Android è proprio questa: se non gli dai te, se non lo fai te. Somma...sei sempre te che sbagli alla fine della fiera.
Pensa che su IOS non puoi sbagliare manco per sbaglio.
Non esiste nulla che tu possa installare al di fuori dello store, neppure per sbaglio. Potresti dare in mano lo smartphone al più imbranato che, difficilmente potrebbe combinare danni.

Non discuto ma allo stesso modo non posso installare un firewall con privilegi perché se il sistema non lo permette sono tagliato fuori.

Ora non voglio stare a fare tutto l'elenco ma è palese che nel momento in cui scegli un OS lo scegli prendendone il bene e il male.

Tra l'altro non condivido nemmeno questa politica del "safe by software" proprio per il fatto che l'utente deve sempre essere responsabile. Non puoi basarti sulla sicurezza by software perché davvero in quel caso se te non sei vigile e il software viene bucato non avrai nemmeno modo di accorgertene. Sia chiaro che non significa allora che il software non deve fare niente ma al tempo stesso non mi son mai piaciuti i sistemi chiusi in cui non ho un controllo diretto se voglio.

Capisci perché evito di usare Android per collegarmi alla banca? Semplicemente, non mi fido e non mi sono mai fidato.

Ma questa è una tua legittima riflessione e non c'è niente di male. Te sei liberissimo di pensarla come ti pare.
Quello su cui ti stiamo rispondendo è che te stai trasformando una tua legittima scelta che può anche essere condivisibile in una regola generale. Soprattutto scusami ma devo dirlo, continui a diffondere un allarmismo non giustificato dai numeri perché a oggi lo stesso Brata ha fatto un numero di vittime estremamente basso si parla di cifre veramente minime al cui confronto ci sono sistemi di truffa che sono decine di migliaia di volte più probabili.

È un sistema che presenta troppi punti deboli. Non esiste che mi arriva un SMS dove mi chiede di installare un APK.

Questo è inevitabile... come dovrebbero fare a impedirlo?? L'sms è testo e un link tra l'altro uno short url che quindi non può nemmeno essere analizzato. Ti arriverebbe l'sms anche su apple.

Imho....Non dovrebbe essere proprio possibile installare nulla che non sia stato passato al setaccio dallo store. Nulla, neppure se uno ci clikka per sbaglio perché è un perfetto imbranato informatico.

Questo è diametralmente contro la filosofia di android ma stessa cosa vale per windows o anche per linux. Se la pensi così praticamente dovresti avere solo sistemi chiusi e blindati.

E chi usa gli smartphone è spesso una persona che capisce poco o nulla di certe dinamiche: andrebbe messa nelle condizioni tali di non poter far danni ma nelo stesso tempo dovrebbe poter usare gli strumenti che usano tutti e in tutta sicurezza.

Ma anche no. Questa è una concezione che spero proprio non prenda mai piede. Significherebbe per ogni dispositivo avere qualcuno dall'alto che decide che software posso o non posso usare. Preferisco di gran lunga correre dei rischi operativi ma essere io a decidere che non essere costretto a sottostare al volere di qualcuno che decide per me cosa è giusto e cosa no.

Se domani decido che voglio un adblock io lo metto. Se domani voglio un firewall come pare a me, lo metto.
Accetto un rischio in cambio di fare come mi pare. Ripeto te sei libero di scegliere come ti pare e stare in un ecosistema chiuso ma non per questo devi fare allarmismo verso gli altri o voler convincere gli altri che la tua idea è l'unica risposta possibile.

Il fattore a doppia autenticazione l'ho impostato da un bel pezzo ovunque si possa impostare: dai NAS, alla Mail a Icloud.
Quello è il primo passo per stare (quasi) al sicuro.

É "uno" dei passi al massimo...già con una vpn come Cristo comanda, con tutti i criteri di sicurezza impostati, sei al sicuro.

...comunque questo thread sembra diventato un spot ad apple...ripeto si campa sicuri e alla grande anche senza i loro devices !
A te piacciono ? Ottimo. Io invece ho il sogno segreto che vengono acquistati e assorbiti tutti da Microsoft ! Sono gusti ! :asd:
Ma il mondo va avanti e alla grande per la maggiore con la concorrenza...facciamoci una domanda e diamoci la riposta...!