En qué consiste la banca de seguridad de tu banco?

En qué consiste la banca de seguridad de tu banco?

Una gran cantidad de bancos, cooperativas de ahorro y crédito y otras instituciones financieras simplemente empujaron a los clientes a nuevas plataformas de banca electrónica que les solicitaron restablecer sus contraseñas ingresando un nombre de usuario más algún otro identificador estático, como los primeros seis dígitos de su número de seguro social. (SSN), o una combinación de SSN parcial, fecha de nacimiento y apellido. Aquí le damos un vistazo más de cerca a lo que puede estar sucediendo (spoiler: los pequeños bancos regionales y las cooperativas de ahorro y crédito se han vuelto demasiado dependientes de los caprichos de unos pocos proveedores importantes de plataformas bancarias en línea).

Es posible que piense que es extraño que cualquier institución financiera que se precie buscara autenticar a los clientes a través de datos estáticos como el SSN parcial para las contraseñas, y estaría completamente justificado por pensar eso también. Nadie tiene ningún negocio con estos identificadores estáticos para la autenticación, ya que están a la venta en la mayoría de los estadounidenses de forma bastante barata en el mundo del delito cibernético. El incumplimiento de Equifax podría haber “refrescado” algunas de esas tiendas de datos para ladrones de identidad, pero la mayoría de los adultos estadounidenses han tenido sus detalles estáticos (DOB / SSN / MMN, dirección, dirección anterior, etc.) en venta desde hace años.

El 16 de febrero, el lector de KrebsOnSecurity, Brent Hoeft, compartió una copia de un correo electrónico que acababa de recibir de su institución financiera Associated Bank , que en $ 30 mil millones en activos es el más grande de Wisconsin por tamaño de activos.

El aviso aconseja:

“Lea y guarde esta información (incluida la contraseña a continuación) para prepararse para la  actualización de su banca móvil y en línea  .

Nuestra renovada  experiencia de banca en línea y móvil  se lanzará oficialmente el lunes 26 de febrero de 2018.

Nos complace compartirlo con usted y deseamos que conozca algunos detalles importantes sobre la transición.

CONTRASEÑA TEMPORAL

Use esta contraseña temporal la primera vez que inicie sesión después de la actualización. Su contraseña temporal son las primeras cuatro letras de su apellido más los últimos cuatro dígitos de su Número de Seguridad Social.

XXXX #### [redactado por mí pero incluido en el correo electrónico]

Nota: su contraseña es minúscula sin espacios.

Una vez que se complete la actualización, necesitará su contraseña temporal para comenzar el proceso de reinscripción.
• A partir del lunes 26 de febrero, deberá iniciar sesión utilizando su ID de usuario existente y la contraseña temporal incluida anteriormente en este correo electrónico. Tenga en cuenta que solo debe volver a inscribirse en la banca en línea o móvil,   pero puede acceder a ambos con la misma identificación de usuario y contraseña.
• Una vez que inicie sesión, se le pedirá que cree una nueva contraseña y establezca otras funciones de seguridad. Su identificación de usuario seguirá siendo la misma “.

Hoeft dijo que Associated Bank parece tratar el nombre de usuario del cliente como un secreto, algo que debe protegerse junto con la contraseña.

“Me puse en contacto con el servicio al cliente de Associated por correo electrónico y recibí una explicación mucho menos satisfactoria de que el nombre de usuario es necesario para la reactivación y que dado que [el nombre de usuario] no se proporcionó en el correo electrónico, el proceso que están usando es de hecho seguro, “Dijo Hoeft.

Después de hablar con Hoeft, escribí en Twitter acerca de si nombrar y avergonzar al banco antes de que fuera demasiado tarde, o tal vez tratar de decirles algo en privado. La mayoría de los lectores informaron que llamar la atención sobre el problema antes de la transición podría causar más daño que beneficio, y que al menos hasta después del 26 de febrero contactar a algunos de los bancos en privado fue la mejor idea (que es lo que hice).

Associated Bank no dijo quién era su nuevo proveedor de banca en línea para consumidores, pero dijeron que era uno de los más importantes. Me refería a FIS , Fiserv o Jack Henry , que controlan colectivamente aproximadamente el 70% del mercado de procesadores centrales bancarios (según FedFIS.com , Fiserv es de lejos el más grande).

El principal oficial de seguridad de la información del banco, dijo que el nuevo proveedor de plataforma de banca en línea de consumidores requiere que los clientes nuevos y existentes inicien sesión con un nombre de usuario y una contraseña temporal, que se describió como una opción entre elementos de datos secundarios y estáticos seis dígitos del SSN del cliente o la fecha de nacimiento.

Smits agregó que el banco originalmente comenzó a enviar por correo electrónico a los clientes las instrucciones para descifrar sus contraseñas temporales, pero luego decidió que el correo de EE. UU. Sería una opción más segura y envió el resto de esa manera. Dijo que solo alrededor del 15% de los clientes de Associated Bank (~ 50,000) recibieron instrucciones sobre sus contraseñas temporales a través del correo electrónico.

Seguí con Hoeft para descubrir cómo su actualización de banca en línea fue en Associated Bank. Me dijo que al visitar el sitio, le pidió su nombre de usuario y la contraseña temporal (las primeras cuatro letras de su apellido y los últimos cuatro dígitos de su SSN).

“Después de ingresar, me dijeron que volviera a ingresar mi contraseña temporal y luego creara una nueva contraseña”, dijo Hoeft. “Luego me pidieron que seleccionara 5 preguntas de seguridad y respondiera. Luego me pidieron un número de teléfono de verificación. Al ingresar, recibí un mensaje de texto con un código de verificación de 4 dígitos. Después de ingresar el código, me pidió que terminara la información de mi perfil, incluidos el nombre, el correo electrónico y el teléfono durante el día. Después de eso, me llevó directamente a mi cuenta bancaria en línea “.

Hoeft dijo que parece que el paso de “verificación” que se suponía que crearía un control de seguridad adicional realmente no agregaba ningún tipo de seguridad.

“Si alguien pudiera ingresar con la contraseña temporal, podría crear una nueva contraseña, completar toda la información del código de seguridad y luego proporcionar su número de teléfono para recibir el código de verificación”, dijo Hoeft. “Armados con el código de verificación, entonces podrían ingresar directamente a mi cuenta bancaria en línea”.

OTROS BANCOS

Una simple búsqueda en línea reveló que Associated Bank no estaba solo: varias instituciones se estaban moviendo a una nueva plataforma de banca en línea, todo en el mismo día: 26 de febrero de 2018.

My Credit Union también se trasladó a un nuevo servicio de banca en línea en febrero, publicando un aviso que establece que todos los clientes deberán iniciar sesión con su nombre de usuario actual y los últimos cuatro de su SSN como contraseña temporal.

Customers Bank , un banco de $ 10 mil millones con casi dos docenas de sucursales entre Boston y Filadelfia, también les dijo a los clientes que a partir del 26 de febrero tendrían que usar una contraseña temporal, los últimos seis dígitos de su número de Seguridad Social, para volver a inscribirse en línea bancario. Aquí hay una parte de sus consejos, que se publicó en un PDF en el sitio del banco:

• Puede observar un nuevo logotipo de marca compartida para Customers Bank y BankMobile (Division Customers Bank).
• Su nombre de usuario actual para Online Banking seguirá siendo el mismo dentro del nuevo sistema; sin embargo, debe ingresarse como letras minúsculas.
• La primera vez que inicia sesión en el nuevo sistema de Online Banking, su contraseña temporal son los últimos 6 dígitos de su número de seguro social. Su
contraseña temporal caducará el viernes 20 de abril de 2018. Asegúrese de iniciar sesión antes de esa fecha.
• La banca en línea incluye autenticación de múltiples factores que deberá restablecerse como parte del inicio de sesión inicial en el sistema.
• Sus credenciales de nombre de usuario y contraseña para la banca en línea serán las mismas para la banca móvil. Nota: Antes de acceder a los nuevos servicios de banca móvil,
primero debe iniciar sesión en nuestro mejorado sistema de banca en línea para cambiar su contraseña.
• También deberá inscribir su dispositivo móvil, ya sea a través de la Banca en Línea visitando la opción del Centro de Banca Móvil, o directamente en el dispositivo a través de la
aplicación. Ambas opciones requerirán autenticación adicional.

Columbia Bank , que tiene 140 sucursales en Washington, Oregon y Idaho, también cambió de marcha el 26 de febrero, pero utilizó un enfoque más sensato: enviar a los clientes una nueva identificación de usuario, identificación de la organización y contraseña temporal en dos correos separados.

ANÁLISIS

Mi tweet sobre si nombrar al Banco Asociado atrajo la atención de al menos dos reguladores de seguridad de la industria bancaria, cada uno de los cuales habló con KrebsOnSecurity a condición de no ser identificado por su nombre o agencia reguladora.

Ambos dijeron que sus agencias estarían usando los ejemplos anteriores en informes con las instituciones miembros como instructivos sobre cómo no hacer banca en línea de forma segura. Ambos también dijeron que los bancos pequeños y medianos están en deuda masiva con sus proveedores de plataformas, y muchos bancos simplemente aceptan los incumplimientos en lugar de presionar por alternativas más fuertes.

Muchos de ellos han simplificado enormemente sus requisitos de contraseña. Muchas instituciones más pequeñas a menudo no comprenden el riesgo que implica la banca en línea, por lo que intentan subcontratar todo el negocio a otra persona. Pero no pueden subcontratar la responsabilidad “.

“Tengo muchas comunicaciones directamente con los principales oficiales de seguridad de la información, jefes de seguridad y jefes de información en muchas instituciones”, dijo un regulador. ” Muchos de ellos han simplificado enormemente sus requisitos de contraseña. Muchas instituciones más pequeñas a menudo no comprenden el riesgo que conlleva la banca en línea, por lo que intentan externalizar todo el negocio a otra persona. Pero no pueden subcontratar la responsabilidad “.

Uno de los reguladores con los que hablé sugirió que todos los bancos que habían visto la transición a una nueva plataforma de banca en línea el 26 de febrero eran clientes de Fiserv, el proveedor de plataforma bancaria en línea más grande del país.

Fiserv no respondió preguntas específicas para esta historia, diciendo solo en una declaración escrita que: “Fiserv regularmente se asocia con instituciones financieras para proporcionar capacidades que ayudan a mitigar y administrar riesgos, mejorar la experiencia del cliente y permitir que los bancos sigan siendo competitivos. Las instituciones utilizan una variedad de metodologías para inscribir y autenticar nuevos usuarios en plataformas bancarias en línea, y la autenticación de contraseñas es una de las múltiples capas de seguridad utilizadas para proteger a los clientes “.

Los dos reguladores de la industria bancaria con los que hablé dijeron que un problema básico es que muchas instituciones más pequeñas lamentablemente todavía tratan los nombres de usuario como códigos secretos. Me he rebelado contra esta práctica durante años, pero demasiados bancos tratan los nombres de usuario de los clientes como parte de su seguridad, aunque la mayoría de los clientes eligen algo muy parecido a la primera parte de su dirección de correo electrónico (antes del signo “@”). Incluso he ensartado a algunos de los gigantes de la industria de las aerolíneas para hacer lo mismo (United lo hace con su número supersecreto de cuenta de viajero frecuente ).

“Creo que esta será una oportunidad para nosotros para entrenarlos en eso”, dijo un regulador bancario. “Este proceso debe involucrar la generación aleatoria de contraseñas y debe ser un procedimiento operativo estándar. Si puede atajar la seguridad simplemente suministrando datos estáticos como SSN, todo está jodido. Algunas de estas organizaciones han tenido una estructura de control tan pobre durante tanto tiempo que ni siquiera entienden lo malo que es “.

El otro regulador dijo que otro desafío es cuánto tiempo deben esperar los bancos antes de inhabilitar las cuentas si los consumidores no inician sesión en el nuevo sistema bancario en línea.

“Lo que van a hacer es configurar todos estos usuarios en este nuevo sistema y darles contraseñas predeterminadas”, dijo el regulador. “Algunas personas inician sesión en su cuenta bancaria todos los días, otras una vez al mes y otras bastante al azar. Entonces, ¿cómo van a controlar esa ventana de oportunidad? En algún momento, tal vez después de un par de semanas, necesitan simplemente desactivar esas otras cuentas y hacer que la gente comience desde cero “.

El primer regulador dijo que parece que muchos bancos (y sus proveedores de plataformas) están singularmente enfocados en hacer que estas transiciones sean lo más fluidas e indoloras posible para la institución financiera y sus clientes.

“Creo que están buscando hacer que sea más fácil para sus clientes y disminuir las consecuencias, ya que reciben menos llamadas enojadas y frustradas”, dijo el regulador. “Ese es su incentivo más que cualquier otra cosa”.

QUÉ PUEDES HACER?

Si bien puede parecer que los bancos temen más las llamadas de sus clientes que las consecuencias de los ladrones de identidad y los hackers, recuerde que usted, el consumidor, puede comprar con su billetera, y debe mover sus fondos a otro si no está satisfecho con la seguridad. prácticas de su institución actual.

Además, no reutilice las contraseñas. De hecho, siempre que sea posible, no use contraseñas en absoluto. En su lugar, elija frases clave sobre las contraseñas (recuerde, la longitud es la clave). Desafortunadamente, las frases de contraseña pueden no ser posibles porque algunos bancos han elegido truncar contraseñas después de cierto número de caracteres, y para no permitir símbolos especiales.

Si usted es el tipo de persona a la que le gusta usar la misma contraseña en varios sitios, entonces un administrador de contraseñas es definitivamente para usted . Esto se debe a que los administradores de contraseñas eligen contraseñas seguras, largas y seguras para usted y lo único que debe recordar es una sola contraseña maestra.

Considere cualquier opción de autenticación de dos o dos factores que su institución financiera pueda ofrecer, y asegúrese de aprovecharla cuando esté disponible. Además, solicite a su banco que solicite una contraseña verbal única antes de comentar cualquiera de los detalles de su cuenta por teléfono; esto evita que alguien llame a su banco y convenza a un representante de atención al cliente de que él es usted solo porque puede regurgitar sus datos personales estáticos.

Finalmente, tome medidas para evitar que su seguridad sea respaldada por su proveedor de telefonía móvil: consulte los consejos de la semana pasada sobre el bloqueo de estafas de porteo de número de móvil , que los ladrones a veces usan para cobrar cuentas bancarias pirateadas.

 

by MobilMedia® Events
REGISTROS