NatWest strafft Online-Banking-Sicherheit nach Hacks Exposés Das Register hacken
NatWest ist eine Verschärfung der Internet-Banking-Systeme nach Sicherheitsmängel von Journalisten ausgesetzt waren.
BBC Hacks konnte einen Kollegen NatWest Online-Bankkonto kapern und Geld übertragen, ohne ihr Passwort zu kennen. Die Eltern britische Bank, Royal Bank of Scotland (RBS) Gruppe wird Verbau auch seine Sicherheit auf.
Radio 4 Sie und Sie ergaben die Sicherheitslücke nach Beschwerden von den Opfern der SIM-Swap-Betrüger zu untersuchen. Der Betrug SIM-Swap beinhaltet Nachrichten Text Umleitung von jemandes mobe an ein anderes Telefon. El Reg deckte den Betrug vor drei Jahren.
Dies ist, wie ist der Regel geht nach unten: einige Social Engineering verwenden, die Gauner eines Opfers Hörer berichtet über ihre Mobilfunknetz verloren oder gestohlen wird, und bittet um die Telefonnummer des Opfers auf die crim SIM vertauscht werden. Alternativ nicks die Gauner nur das Telefon.
In beiden Fällen erhält der Dieb Texte des Opfers Nummer gesendet. Da die Sie und Ihr Team fand heraus, kann der crim dann NatWest anrufen und behaupten, dass sie ihre Kunden-ID-Nummer, Passwort vergessen haben, PIN, und alles andere in ihre Online-Bankkonto einzuloggen benötigt. Die Bank wird Text dann einen Code des Opfers Nummer, die online von den Gaunern eingegeben werden kann zurückgesetzt und das Passwort und PIN zu ändern, und die Kontrolle über das Bankkonto zu gewinnen.
Dies erlaubt ein BBC-Reporter £ 1.50 von dem Erzeuger Konto abzuschöpfen.
Auf der einen Seite muss ein Angreifer gewinnt irgendwie die Kontrolle über die Telefonnummer des Opfers, das nicht einfach ist. Im Fall des Beeb wurde der Reporter des Herstellers Handy reicht und sagte ihre schlimmsten zu tun. Es ist nicht gerade Kevin Mitnick.
Auf der anderen Seite, einfach mit Kontrolle über die Telefonnummer einer Person soll nicht sofort wirft die Türen zu all ihrem Geld öffnen. So minus 10 Punkte zu NatWest.
Als Reaktion auf die Untersuchung erklärte ein Community-Manager auf NatWest offiziellen Forum, dass die „konkretes Beispiel, die Sie uns stellen und Ihr benötigt, um sie mehrere Stücke von persönlichen Informationen kennen den Aktivierungscode zu erzeugen und die Steuerung des Kunden Handy haben“ der zugab, dass seine Sicherheitsbedürfnisse zu verbessern und umreißt bevorstehende Änderungen:
NatWest rechnet damit, dass alle Arten von zusätzlichen Informationen würden benötigt werden, um eine Transaktion zu machen, speziell die Kundennummer, teilweise PIN und Teil Passwort. Entscheidend aber war die Sie und Ihr Team neue Passwörter und PINs einstellen kann nach der Behauptung, sie diese Login-Daten vergessen hatte. Es gab keine E-Mail eine Kennwortänderung bestätigt, ein Manko RBS und NatWest da angesprochen haben.
Das BBC-Team ging nicht durch einen Schritt-für-Schritt-Prozess, wie der Hack wurde durchgeführt, aufgrund der verständlichen Sorge nicht Betrüger frischer Ideen.
Der Community-Manager machte eine viel bessere Faust zu erklären, die Position der Bank als der unglückliche Sprecher auf BBC Radio 4 You and Yours ins Feld. Chris Popple, manager digitaler bei RBS / NatWest, die nicht viel über Banalitäten bekommen haben Kunden Sicherheit ernst zu nehmen und wurde immer wieder die Forschung der BBC als „hilfreich“.
Als Reaktion auf Anfragen von El Reg. NatWest lieferte eine Erklärung zum Teil bekräftigt, was sein Community-Manager gesagt hatte:
SIM-Swap-Betrug ist ein aufstrebendes Thema in der gesamten Branche, und wir arbeiten eng mit Finanzbetrug Aktion UK und Mobilfunkanbieter unseren Kunden Authentifizierungsprozesse zu verbessern als Betrüger werden immer ausgefeilter.
Unsere Aufzeichnungen zeigen, dass von allen Menschen, die in Online-Banking anmelden und ihre Details vergessen, nur 0,01 Prozent betrügerisch sind.
Wir ermutigen alle unserer Kunden ihr Telefon mit einem Passwort oder Touch-ID zu schützen, halten Details ihrer PIN und Online-Banking-Daten sicher und mit uns so bald wie möglich in Kontakt zu treten, wenn sie glauben, dass sie ein Opfer von Betrug gewesen sein. Wie in unseren Digital-Versprechen erwähnt, wenn ein Kunde auf diese Weise Opfer von Betrug fällt, werden wir sie zurück.
Wenn Sie irgendwelche Sicherheitsprobleme mit Ihrem Handy oder Online-Banking vor Ort, nicht ping uns eine E-Mail. ®
Zusammensetzbare IT - ist eine einzige Technologieplattform überhaupt möglich?
All diese neue Technologie, so viele Möglichkeiten, so viele Möglichkeiten, kann es schwierig sein, den Wald vor lauter Bäumen zu sehen. Aber es könnte alles auf einer einzigen Plattform ausgeführt werden?
Der Staat Security Operations
Digitale Videoüberwachung Archiv
Ransomware ist bösartige Software, die Dateien verschlüsselt, sperrt den Computer, und behält die Kontrolle, bis der Benutzer eine bestimmte Menge an Geld bezahlt.
gesponserte Links
- Holen Sie sich die Schlagzeilen in Ihrem Posteingang Register täglich - eine schnelle Anmeldung!