Pubblici.. calma, i dati che forniamo per un pagamento elettronico e a maggior ragione quelli forniti in farmacia dovrebbero essere tenuti, nel modo più assoluto, riservati. Certo, che poi la maggior parte delle persone fornisca distrattamente il consenso al trattamento dei propri dati personali è vero, ma in teoria nessuno è autorizzato a rendere pubblici i nostri dati personali senza un consenso esplicito o solo perché stiamo pagando qualcosa.Vincent Vеga;57625977 ha scritto:
Sul numero di telefono probabilmente convengo con te, la cosa assurda è dover arrivare a queste misure quando invece dovevamo essere maggiormente tutelati. Invece no, l'importante è tracciarci a più non posso, sia per "controlli di legge" che per profilazioni commerciali e altre cag.te da ogni dove.
Vincent Vеga;57626117 ha scritto:
Eh ma in questo caso scemi quelli che lo fanno scusami eh.. Anche io posso sbandierare i miei dati a destra e a manca e appendere cartelli, poi però non mi devo sorprendere se incorro in qualche inconveniente. Chi è causa del suo mal...
Gli stessi utenti che sbandierano su Facebook i propri dati personali sono le vittime predilette nonché i più probabili "aiutanti" del truffatore. Sono i primi che al telefono si berrebbero qualsiasi cosa e in generale una persona che ti chiama con nome e cognome spacciandosi per la tua banca infonde una certa sicurezza. Questi utenti non ci vuole nulla che cliccherebbero su qualsiasi cosa spalancando inconsapevolmente ogni cassaforte.
Ah sì, certo. Molti si stupiscono che un "operatore" sa vita morte e miracoli di loro e se vai poi a vedere postano la loro vita e i loro dati sui social h24....
Non sono sicuro di aver capito bene cosa intendi, ma penso che tu abbia ragione.
Il famoso dumpster diving?
Guarda, dubito che vadano a rovistare alla ricerca dei nostri dati personali in questo modo (piuttosto un'azienda deve sempre stare attenta) ma, certo, è comunque buona norma distruggere bene ogni documento dove ci sono i dati personali prima di gettarlo.Ovviamente, ed esattamente come dici. Motivo in più per rivalutare il concetto di privacy e riservatezza, oltre ovviamente a diffidare sempre da telefonate strane, link e richieste di codici.
Arrivata raccomandata dalla banca
Il numero di cellulare non è un dato sensibile e non è pensato per essere tenuto segreto. Se basta il numero di cellulare per svuotare il conto non è il correntista che ha pubblicato il numero di cellulare su facebook ad essere stato incauto. E' la banca che ha sistemi di sicurezza che fanno acqua. E di banche del genere ce ne sono, eh, banche che per movimentare il conto chiedono password ed otp inviata sul cellulare ma poi permettono di resettare la password tramite otp su cellulare.Vincent Vеga;57630165 ha scritto:c'è tutt'ora gente che su Facebook ha persino il numero di cellulare in chiaro insieme all'email
laureati, bilaureati e qualcuno insegna pure per la patente ECDL
diversi professionisti hanno il CF nel timbro....insomma non è un segreto di stato, quello che è (era) segreto sono i codici che diamo ai truffatori; un esempio a caso è l'ingegnere che mi ha fatto delle visure catastali, di lui ho tutto scritto direttamente nei documenti da lui.
il particolare poi il PIN: fornire il PIN del bancomat non è classificabile.
l'unica cosa che posso capire è fornire l'IBAN per farsi riconoscere anche se è comunque fuoriluogo perchè quando chiami un CALL CENTER ti fanno inserire il nome utente tramite tastierino; qui la parte che rileva è che sei tu a chiamare, mai viceversa.
Immagino che per id volessi scrivere ip... Comunque, certo, se l'attacco fosse avvenuto dall'esterno l'ip sarebbe stato diverso, il problema è se questo sia avvenuto all'interno della stessa LAN (rete aziendale, domestica, o, peggio, pubblica e aperta), cosa ben più difficile, ma non del tutto impossibile.
Il fatto che non sia un dato sensibile non significa che non debba essere tenuto riservato da terzi, salvo esplicita autorizzazione del diretto interessato, perché è comunque un dato personale e diffonderlo senza consenso è reato.
Ovviamente non basta il solo numero di cellulare, che potrebbe prestarsi solo ad un social engineering o sim-swap (di cui però ci si dovrebbe accorgere vedendo che non si ha più linea o sim registrata). Per il resto tutte le banche utilizzano l'autenticazione a due fattori (credenziali di accesso e otp su cellulare). Capisci bene che senza la collaborazione dell'incauto utente risulta teoricamente impossibile portare a termine una frode, è evidente che in casi simili sembra ci sia dell'arcano semplicemente perché l'utente esclude, non ricorda, o non sa, qualche comportamento o imprudenza che costituirebbe il classico anello mancante.
Sinceramente non ho capito che significa "per movimentare il conto"
Movimentare significa fare movimenti. Bonifici, ricarica telefoniche. In teoria per farli serve l'autenticazione a due fattori, una password + un codice monouso inviato sul celluare. Ma l'autenticazione a due fattori per definizione prevede l'utilizzo di due fattori indipendenti, se la password si può resettare tramite codice otp è un'autenticazione a due fattori farlocca perchè per svuotare il conto basta solo un fattore, il cellulare, con cui si ottiene accesso anche alla password. Se si vogliono fare le cose per bene la password andrebbe resettata inviandone una nuova attraverso un altro canale certificato (ad esempio l'email) a seguito di riconoscimento fatto de visu da un operatore della banca (eventualmente in webcam per velocizzare l'operazione).Ovviamente non basta il solo numero di cellulare, che potrebbe prestarsi solo ad un social engineering o sim-swap (di cui però ci si dovrebbe accorgere vedendo che non si ha più linea o sim registrata). Per il resto tutte le banche utilizzano l'autenticazione a due fattori (credenziali di accesso e otp su cellulare). Capisci bene che senza la collaborazione dell'incauto utente risulta teoricamente impossibile portare a termine una frode, è evidente che in casi simili sembra ci sia dell'arcano semplicemente perché l'utente esclude, non ricorda, o non sa, qualche comportamento o imprudenza che costituirebbe il classico anello mancante.
Sinceramente non ho capito che significa "per movimentare il conto"
Poi non ho capito nemmeno in che altro modo si dovrebbe resettare la psw se non anche attraverso, appunto, un codice otp....