La respuesta simple es sí.
Pero la verdadera respuesta es: básicamente todos los servicios son vulnerables a los ataques de phishing.
Parece que Square está haciendo mucho para protegerse contra este problema:
- Usan SSL, por supuesto, con “validación extendida” que la mayoría de los navegadores mostrarán con indicadores visuales adicionales para indicar que se puede confiar en el dominio.
- Tienen un artículo sobre Square Cash Security en un lugar destacado, por lo que cualquier persona que tenga curiosidad por saber si están siendo phishing podrá encontrar buenos consejos.
- A partir de ese artículo, parece que están dando algunos pasos sobre cómo “firman” digitalmente sus correos electrónicos para permitir que los proveedores de correo electrónico descarten los mensajes falsos y se queden con los buenos.
- Envían notificaciones por correo electrónico sobre cada evento en su sistema y tienen una forma de notificaciones fuera de banda a través de sms (un canal que es más probable que se verifique con frecuencia), pero esa protección es después del hecho en lugar de ser una medida proactiva / preventiva . Esto ayudará a reducir el tamaño del fraude (es decir, un estafador solo podría obtener 1 transacción), pero solo ayuda si una persona ha configurado la función y todavía permite que ocurra una transacción.
Editado para agregar:
- ¿Por qué hay puestos de control de seguridad en Cisjordania?
- ¿Puedo obtener un virus o malware de sitios redirigidos?
- ¿Se pueden usar los registradores de teclas como una herramienta de prueba de penetración sin notificar al cliente?
- ¿Qué es la granja porno Turing?
- ¿Cómo 'LastPass' encripta y desencripta las contraseñas localmente antes de sincronizar con su sistema? ¿Es la solución de almacenamiento de contraseña más segura?
Debo decir: hay al menos dos cosas que el cuadrado no está haciendo para proteger contra el phishing.
- Podrían asociar una imagen con su página de inicio de sesión seleccionada por un usuario y almacenada en una cookie de larga duración. Si un usuario está en la página de inicio de sesión real, vería la imagen que indica su cookie.
- Podrían usar la autenticación de dos factores para iniciar sesión. De esa manera, si alguien es “phishing”, entonces su cuenta aún estaría protegida (a menos que su dispositivo de segundo factor también se vea comprometido, lo que sería realmente poco probable).