Gartner: Zabezpečení on-line bankovnictví se musí změnit

22. 12. 2009

Sdílet

Jednorázová hesla podle studie společnosti Gartner nemusí on-line bankovnictví dostatečně ochránit. Postačující nejsou ani jiné formy autorizace pomocí nezávislého kanálu, například telefonu.

Podvodníci dokáží se stále větší úspěšností tyto technologie obejít a banky potřebují do svých systémů přidat další úroveň zabezpečení. FBI odhaduje, že jen za říjen došlo v USA k podvodným převodům např. pomocí ukradených oprávnění za asi 100 milionů dolarů. Postiženy byly hlavně menší firmy. Gartner uvádí, že několik firem se stalo obětí podle všeho jenom na základě zneužití zranitelností v prohlížeči, které vedlo k instalaci trojského koně. Dodatečný autorizační kanál pak útočníci obcházejí různými prostředky, např. útokem typu man-in-the-middle (respektive man-in-the-browser). Jednou z cest je, že transakce zadaná do banky je prostřednictvím malwaru pozměněna a peníze jsou poslány na účet podvodníků. Uživatel nezpozoruje změnu a projde sám celým procesem autorizace. Malware může také přímo změnit, co uživatel o transakci vidí v prohlížeči (takže vidí např. původně zamýšlený cílový účet).

U autorizace přes telefon se zase často používá přesměrování.

bitcoin_skoleni

Analytik společnosti Gartner Avivah Litan v této souvislosti uvádí, že proti útokům přes modifikaci prohlížeče neposkytují obranu ani čipové karty, biometrická autentizace či jiné hardwarové prostředky. Co tedy banky mohou dělat? Především na straně svého serveru podrobněji monitorovat chování při transakci – roboti například provedou celou transakci typicky mnohem rychleji než lidé. Banky by měly pečlivě sledovat, zda průběh transakce odpovídá konkrétnímu „uživatelskému profilu“.