Contro il mobile banking - un RANTolo

Il III fattore è l'unione di qualcosa che si conosce, es. utente e password, che non dovrebbero esser scritti se non in luoghi sicuri, se al computer cifrati, altrimenti su carta in cassaforte, dissimulati ecc, e qualcosa che si possiede, es. il token fisico, la smart card. Lo scopo è far si che un sistema compromesso comunque impedisca un'operatività remota efficacie: il ladro che ha bucato un computer può copiarsi nome utente e password, anche l'OTP, che non è più valido, ma se non ha accesso FISICO al mezzo che l'OTP genera non ha modo di far nulla.

L'app ovvero il soft-token o altre varianti sul tema è un mezzo PESSIMO perché le piattaforme mobile sono PATTUME PROPRIETARIO vulnerabile ancora prima di uscir dalla fabbrica, fuori dal controllo dell'utente e sono connesse quindi se sono bucate l'OTP l'attaccante remoto se lo legge bello comodo. Ancora più comodo se la crapplicazione non è solo un soft-token ma permette pure l'operatività bancaria sullo stesso dispositivo, cosa che il 100% delle crapplicazioni bancarie in effetti fa. Far questo significa ANNULLARE il III fattore. Significa pure violare la DSP/PSD2 millandando il contrario³ ma alle banche piace spiare i clienti, tramite l'app lo fan bene, han la rubrica "ma solo per poter integrare i contatti", han pure le foto "ma solo per poter leggere i Qr di vari moduli di pagamento", la posizione "ma solo per cercar di capire se c'è un attore malevolo in mezzo" (ah, questa è il massimo, perché si, se il telefono si teletrasporta in Kazakistan per magia è chiaro che qualcosa non va, ma se è bucato e telecontrollato dal Kazakistan per la banca è a casa vostra, quindi tutto normale) e via dicendo. La banca così sa come il suo cliente guida, sa se frequenta prostitute, … conosce i suoi messaggi "solo per gli OTP SMS" e via dicendo, quindi ficcanasa bene.

La DSP/PSD2 chiede esplicitamente un III fattore, se l'app bancaria fosse solo un soft-token sarebbe insicura, ma in punta di diritto ancora ammissibile, sarebbe illegale solo usare internet banking sullo stesso dispositivo. Siccome però le crapplicazioni bancarie permettono tutte la piena operatività queste violano di fatto la norma poiché sullo stesso dispositivo sta tutto, user e password scritti dall'utente, OTP generato in loco. Un attaccante che controlla il telefono può operare, il III fattore è di fatto annullato.

I clienti che l'accettano oltre ad accettare qualcosa di illecito, che formalmente li metterebbe pure a rischio di coperture assicurative (e qui e la litigi sul tema ne son spuntati, ovviamente spariti al volo immagino con accordi tra le parti per non far capire al popolino bove la cosa) di fatto dan informazioni personali extra alla banca.

Io ho cambiato 2 banche per non subire questa imposizione, ho spiegato alle 2 il perché. Se lo facessimo in tanti, se fossimo in tanti col cervello acceso, beh, non ci sarebbe da cambiare banca, una pubblica denuncia della violazione della norma, analisi forensi che spunterebbero per ogni crapplicazione provando lo spionaggio della banca sarebbero sufficienti a rendere questa pratica un ricordo.

Il popolo invece è bove, gli sembra pure naturale evoluzione questa follia e intanto si moltiplicano i pirataggi bancari che erano essenzialmente scomparsi da tempo coi token RSA e le smart card.

Ecco, cari lettori, il mio RANTolo è semplice: SVEGLIATEVI prima che sia tardi anche per voi in persona.