mobilní verze | Businessworld | CFOworld | Computerworld | GameStar | HD World | ChannelWorld | PC World | ScienceWorld
SecurityWorld | 22.12.09
Jednorázová hesla podle studie společnosti Gartner nemusí on-line bankovnictví dostatečně ochránit. Postačující nejsou ani jiné formy autorizace pomocí nezávislého kanálu, například telefonu.
Podvodníci dokáží se stále větší úspěšností tyto technologie obejít a banky potřebují do svých systémů přidat další úroveň zabezpečení. FBI odhaduje, že jen za říjen došlo v USA k podvodným převodům např. pomocí ukradených oprávnění za asi 100 milionů dolarů. Postiženy byly hlavně menší firmy. Gartner uvádí, že několik firem se stalo obětí podle všeho jenom na základě zneužití zranitelností v prohlížeči, které vedlo k instalaci trojského koně. Dodatečný autorizační kanál pak útočníci obcházejí různými prostředky, např. útokem typu man-in-the-middle (respektive man-in-the-browser). Jednou z cest je, že transakce zadaná do banky je prostřednictvím malwaru pozměněna a peníze jsou poslány na účet podvodníků. Uživatel nezpozoruje změnu a projde sám celým procesem autorizace. Malware může také přímo změnit, co uživatel o transakci vidí v prohlížeči (takže vidí např. původně zamýšlený cílový účet).
U autorizace přes telefon se zase často používá přesměrování.
Analytik společnosti Gartner Avivah Litan v této souvislosti uvádí, že proti útokům přes modifikaci prohlížeče neposkytují obranu ani čipové karty, biometrická autentizace či jiné hardwarové prostředky. Co tedy banky mohou dělat? Především na straně svého serveru podrobněji monitorovat chování při transakci – roboti například provedou celou transakci typicky mnohem rychleji než lidé. Banky by měly pečlivě sledovat, zda průběh transakce odpovídá konkrétnímu „uživatelskému profilu“.
22.12.09, 08:54 xpckar
A proto považují přihlouplý banky za nejbezpečnější způsob certifikát, místo třeba autentizačního kalkulátoru, a přitom u certifikátu se autentizuje jenom to, co je vidět na obrazovce, kdežto u kalkulátoru se zadává i účet, částka, a teprve z toho vzniká hash (neboli změněná data - např. účet - malwarem by při kontrole platnosti tohoto hashe neprošla).
A to i banky, které autentizační kalkulátor měly, ho zrušily. Opravdu tam mají odborníky, ale možná tak leda na umejvání záchodů.
22.12.09, 09:03 xpckar
...oprava...
A proto považují přihlouplý banky za nejbezpečnější způsob certifikát, místo třeba autentizačního kalkulátoru, a přitom u certifikátu se AUTORIZUJE jenom to, co je JAKOBY vidět na obrazovce (ve skutečnosti to může být lež), kdežto u kalkulátoru se zadává ručně i účet, částka, a teprve z toho vzniká hash (neboli na pozadí změněná data - např. účet - malwarem by při kontrole platnosti tohoto hashe neprošla).
A to i banky, které autentizační kalkulátor měly, ho zrušily. Opravdu tam mají odborníky, ale možná tak leda na umejvání záchodů.