Barrapunto

Y si el alumno Hackeo la cuenta del profesor, o la de otro alumno y al contrario?

...es decir, sería por equipos o profesor vs alumnos, está claro que si yo intento engañarme a mi mismo poniendo trapperware en vez de traperware, sería tonto.

Si el phising consiste basicamente en engañar al usuario. ¿se engañaron a si mismos? ¿entre ellos de forma consciente? ... hoy te engaño yo y mañana me engañas tu..

O tienen algun dispositivo como en Men In Black, para borrarse la memoria despues de enviarse el phising..

Si el usuario es tonto.. que puede hacer el banco.. por mucho token, cuadrante o dni-e va a seguir siendo tonto..

vamos que demostraron que un usuario teniendo los datos de otro usuario puede entrar a la cuenta del banco del otro usuario.
Soberana jilipollez

"La seguridad mediante autenticación es muy débil, hemos demostrado que es posible robar la identidad. Para ello, sólo hemos necesitado pensar como criminales y utilizar técnicas de ataque conocidas", declaró Hole a la edición noruega de esta revista informática, que hoy publica la historia.

La seguridad de los bancos fisicos, tambien es muy debil, Para ello, solo necesitas pensar como un criminal y usar tecnicas conocidas de ataque, como subfusiles, chalecos antibala, butrones y cargas explosivas.

Fiajte yo que creia que hacer investigación suponia encontrar tecnicas novedosas, poner atencion sobre campos poco estudidados, etc.. o al menos divulgación si es un campo poco conocido o complejo..

pero no tanto en la noticia, sino mas bien en los comentarios...

a ver, el titular original dice "Profesor Universitario hackea cuentas bancarias para demostrar fallos de seguridad"

no es un estudio sobre "phising", es un estudio sobre seguridad en bancos donde se uso la tecnica del phising entre, supongo, bastantes mas...

y como se puede usar el phising contra uno mismo? pues muy sencillo, seniores, alguien ha oido hablar de la autentificacion de dos factores [wikipedia.org]?

los bancos americanos estan obligados a implementar tecnicas de seguridad asi en sus paginas web por ley, no se como sera en los demas paises del mundo, pero es una medida bastante normal y que se esta extendiendo, lo malo es que determinadas empresas (entre ellas los principales vendedores de servicios de seguridad online) no han entendido bien el tema, asi que suelen ofrecer algo que no puede ser llamado nada mejor que "1.5 factor authentication"

desgraciadamente estas empresas venden esos sistemas estupidos a sus clientes como sistema de dos factores (y los bancos que tampoco tienen muchas luces o los han comprado o los han implementado por su cuenta), y asi te encuentras con que aparte del primer factor (la contrasenia), se usa un segundo factor que suele ser el apellido de la madre, el colo favorito o cualquier chorrada de estas y usan esa respuesta como segundo factor... el problema es que normalmente solo hay una pregunta, asi que al final estan usando dos contrasenias en vez de dos factores (y ya ni hablo de los que venden un captcha como "segundo factor") y la misma seguridad que si el usuario tuviera que duplicar de longitud su contrasenia, es decir, muy poca seguridad mas ante sistemas como el phising

el resultado de esto es que una vez alguien entra en una pagina de phising y un tercero consigue su(s) contrasenia(s), este tercero puede entrar en la cuenta todas las veces que quiera

si el banco usara un sistema de dos factores decente, el tercero no podria entrar en la cuenta ni siquiera con la contrasenia y el segundo factor

un ejemplo relativamente comun de eso aqui en irlanda son los llaveros con una contrasenias de un solo uso [wikipedia.org], si entras en una pagina de phising con tu contrasenia personal y la que aparece en el aparatito, el que la haya puesto sabra esos datos pero no podra entrar en la cuenta con ellos

en mi banco usan otro sistema: tienes que responder a varias preguntas (un pin de cuatro numeros, tu color favorito, el apellido de tu madre...) y cuando vas a entrar te piden 4 caracteres al azar de cualquiera de las respuestas a esas preguntas, no es la panacea (yo preferiria las contrasenias de un uso y asi se lo he dicho) pero la posibilidad de que alguien con relativamente pocas letras de esas respuestas pueda entrar es muy pequenia

en cuanto a que el phising "necesita mucha credulidad por parte del usuario", solo comentare lo que le oi decir a un conocido que lo sufrio:

"si, se que los demas mensajes eran falsos porque no tenia cuenta alli, pero es que ese email era de mi banco!"

En realidad el estudio se titula "Contribución a la teoría de como seguir sacando pasta a la universidad hasta la jubilación haciendo estudios sobre temas absurdos con metodologías cuestionables".

El atraso de la universidades europeas en este campo es notable respecto a países punteros como el nuestro pero oye, es un avance.

El pishing se trata de la confianza absoluta del usuario y cuando sabes que te están haciendo pishing se pierde eso de la confianza.

Científicos del MIT, y expertos técnicos militares de diferentes áreas -especialmente en inteligencia artificial y sistemas informáticos-, han realizado estudios de seguridad, demostrando que mediante ataques de diferentes tipos es posible burlar los sistemas bancarios que se creían seguros.

En realidad se ha visto que vivimos en un mundo de inseguridad de todo tipo, especialmente electrónica.

Algunos ejemplos del estudio:

1. Un comando de asalto con fusiles M16 puede conseguir neutralizar rápidamente a los guardias de seguridad de un banco, lo que demuestra que este sistema es esencialmente inseguro.

2. Un grupo paramilitar secuestró a una familia, y amenazó al padre con matar a los hijos y a la madre si no les daba el pin, las claves y las tarjetas del banco. Una vez en su poder, entraron en la banca electrónica y robaron todo el dinero. El sistema bancario electrónico es por tanto esencialmente inseguro, porque si un grupo paramilitar se hace con las claves, te puede robar tranquilamente.

3. Especialmente inseguros son los sistemas informáticos protegidos por claves: un grupo de tanquetas y comandos asaltó una empresa de servicios, y amenazaron fusilar con sus ametralladoras a todo el personal si no les daban todas las claves y códigos de seguridad. Una vez en su poder, pudieron reventar todos los sistemas informáticos (demostrando así la inseguridad intrínseca de esos sitemas).

4. Lo más grave de todo es que, una vez demostrado que toda la informática es insegura, los grupos de investigadores del MIT consiguieron demostrar que el dinero en papel (que se creía seguro) es aún más inseguro: bastó un pandillero rapero con una navaja para soplarle la billetera a todo el que se le puso por delante.

CONCLUSIÓN:
La banca electrónica y la informática es insegura.
El dinero es inseguro.
Vivir es inseguro.

Este grupo de expertos ha propuesto destruir los ordenadores, quemar los billetes, y enterrar todos los objetos de valor en la fosa oceánica atlántica en un cofre de hormigón armado de 20 metros de espesor.