web-dev-qa-db-ja.com

オンラインバンキングのリスクを最小限に抑えるには、ユーザーとして何ができますか?

私の銀行では、オンラインバンキングにカードリーダーに基づくセキュリティシステムを使用しています。カードはATMや店舗での支払いに使用するものと同じです。たとえば herehere のように、このシステムには既知の攻撃がいくつかあります。

私の銀行で使用しているリーダーに関する詳細情報はありません。私が知っているのは:

  • USBケーブルの有無に関係なく操作できます。
  • リーダーは交換可能です。つまり、私のアカウントに関連付けられた個人情報は含まれていません。

私の質問は、詐欺のリスクを最小限に抑えるために何ができるかです。これまでの私の考えは次のとおりです。

  1. 銀行のウェブサイトとのやり取りにはTorを使用してください。
  2. オンラインバンキングでのみ使用されるVirtualBox(または他のVM)でLinuxインストールを使用します。しかし、私が理解している限り、これは私のホストPCのキーロガーから私を保護しません。 PINがPCではなくリーダーで入力されるため、キーロガーによる危険がカードリーダーでどれほど大きいかについても、私にはわかりません。
  3. USB接続で使用する場合は、ホストPCのドライバーを使用する必要があります(Windowsでのみ使用できるため、これはセキュリティの暗黙の低下のため、実際にはオプションではありません)。一方、ユーザーが確認しなければならないトランザクション固有の情報をカードリーダーに表示することにより、USB接続を使用してセキュリティを強化できることを理解している限りは。しかし、上記のリンク先の論文から理解できるように、これは適切に実装されないことが多いため、非接続モードの方が実際に安全であるかどうかはわかりません。
  4. 同じカードがオンラインバンキング、ATM、決済端末で使用されています。したがって、PINおよびカードのチップ上の情報(スキミングおよび/またはPINの入力時に確認される)を失うと、攻撃者は自動的にオンラインバンキングにアクセスできるようになります。妻も私も同じアカウントのカードを持っていますが、(可能な限り)一方のカードを「オンラインバンキングカード」として使用し、もう一方のカードを「ATMカード」として使用することは理にかなっていますか。リスクを減らしますか、それとも私は何かを見落としているか?

私が説明したポイントの私の理解を明確にし、さらに洞察を提供していただけませんか?

banks
2
Simon

リンクした論文を簡単に読んだところ、いくつかの脆弱性が公開されており、攻撃者がリーダーと対話して、ユーザーの同意なしにトランザクション/ログインリクエストに署名させることができます。ただし、これは大した問題ではありません。攻撃者がリーダーに "話しかける"には、既にマシンが危険にさらされている必要があり、その場合は、セキュリティで保護することはできません。

一方、このスマートカードシステムは実際には非常に優れており、トランザクションを行うにはカードが物理的に存在している必要があるため、カード番号を盗むことはできません。 IMO、それはオンラインカードの支払いが最初から行われるべきだった方法です。

では、チェックリストを見てみましょう。

  • torの使用は不要です。匿名性は必要ありません。セキュリティは、銀行のサイトがHTTPSを使用しているという事実によってすでに提供されています。 HTTPSの実装に欠陥がある場合でも、Torはそれ以上の保護を提供しないため、現時点ではそのサイトを使用するべきではありません。

  • VMを使用することは愚かです。ホストが侵害された場合でも、攻撃者はハードウェアを完全に制御でき、リーダーと「会話」して、あなたがリンクした論文。さらに、読者のドライバーとブラウザープラグインをLinux環境にインストールすることはできません。

  • あなたの質問でリンクされた論文を考えると、オフラインモードの方が安全かもしれません。トランザクション情報は表示されませんが、一方で、単一のトランザクションのみを実行できます。接続モードと同様に、脆弱性を悪用して、ユーザーの同意を必要とせずに無制限の数のトランザクションにカードを署名させることができます(カードがリーダーにある限り)。

  • カードスキミングでは、チップの秘密を盗むことができないため、オンライントランザクションを実行できません。このEMV-CAPシステムは、チップに依存して暗号化操作を実行します。磁気ストライプは関与しません。 PINmayを盗むことにより、攻撃者が支払いを行う可能性がありますまた、カードを物理的に盗みます-スマートカードチップのスキミングは不可能です。

TL; DRは危険にさらされたマシンを使用しないので安全です。マシンが危険にさらされている疑いがある場合(海賊版ソフトウェアまたは信頼できないソース、keygens、怪しげな「ビデオプレーヤー」またはプラグインなどからのソフトウェアをインストールしたため)、最初からマシンを再インストールし、より注意してください。最後に、マシンが侵害されたとしても、攻撃者がマルウェアを更新してこれらのリーダーを悪用したことは疑わしい-単にカード番号をキーロギングすることは依然としてジューシーなビジネスであり、更新に時間を費やす理由がないため、(今のところ)価値はないこれらのカードリーダーを使用する非常に少数の人々のためのマルウェア。

5
user42178

個人用PCを銀行用PCとして扱い、パッチを当ててください。そのPCで電子メールを読むことはありません。 VM、Office、Chrome、フラッシュ、Javaのみをインストールします。すべてのUSBドライブをそのVMにリダイレクトします。

PCで可能な場合はUSBを使用しないか、GPOを介してUSBを無効にしてください

再#4-私はこれについてコメントはありません...

0
goodguys_activate