PayPal bojuje autentifikací e-mailů proti phishingu

8. 2. 2008

Sdílet

Podle společnosti Gartner jsou eBay a její přidružená společnost Paypal nejčastějšími terči phishingu - podvodných praktik za účelem získání neoprávněného přístupu k uživatelským účtům. Mike Vergana, ředitel oddělení ochrany uživatelských účtů PayPal, které má na starosti bezpečí milionů uživatelů eBay a PayPal, poskytl serveru NetworkWorld rozhovor o strategii společnosti v boji proti podvodům.

Podle společnosti Gartner jsou eBay a její přidružená společnost Paypal nejčastějšími terči phishingu - podvodných praktik za účelem získání neoprávněného přístupu k uživatelským účtům. Mike Vergana, ředitel oddělení ochrany uživatelských účtů PayPal, které má na starosti bezpečí milionů uživatelů eBay a PayPal, poskytl serveru NetworkWorld rozhovor o strategii společnosti v boji proti podvodům.

Co dělá eBay a PayPal proti pokusům o online průniky do uživatelských účtů?

Abychom udrželi 170 milionů PayPal účtů zabezpečených, přišli jsme loni v červnu s bezpečnostním klíčem pro dvojí autentifikaci. Nemohu vám sdělit přesný počet uživatelů používajících tento bezpečnostní prvek, ale mohu říci, že byl uživateli velmi dobře přijat.

Jaký máte názor na boj proti phishingu cíleného na eBay a PayPal zákazníky?

Potřebujeme lepší e-mailovou autentifikaci, proto jsme zavedli standard nazvaný DomainKeys Identified Mail, který ověří pomocí elektronicky podepsané části e-mailu, odkud přišel. Pro takovéto ověřování existují dva různé standardy, druhý, nazývaný Sender ID SPF, používá společnost Microsoft. My podporujeme oba.

Jak to funguje?

Veškeré e-maily odesílané ze serveru PayPal, například převod hotovosti nebo různá potvrzení a oznámení, jsou elektronicky podepsané oběma standardy, DomainKeys i Sender ID SPF. Mnoho internetových poskytovatelů, včetně Yahoo, Google, Comcast a AOL, nyní používá DomainKeys. Během léta jsme ve spolupráci s Yahoo zajistili blokování phishingu a mazání podvodných e-mailů ještě před doručením do Yahoo účtů. Google Gmail, Comcast a AOL sice podporují DomainKeys, ale zatím neprovádí blokování. Jejich antispamový filtr může namísto toho příslušný e-mail označit jako podezřelý. Víme, že vytvoření systému blokování zabere mnoho času, ale naším cílem je, aby byl phishing blokován každým internetovým poskytovatelem na světě.

Není ale pravděpodobné, že se vždy najde některý poskytovatel, který blokování provádět nebude?

Ano, ale my současně zabezpečujeme naše zákazníky dalšími způsoby. Nabízíme softwarový plugin pro e-mailové klienty od malé společnosti Iconix, který je schopen ověřovat elektronické podpisy obou bezpečnostních standardů, DomainKeys i Sender ID SPF. Plugin je určen pro webová rozhraní i pro e-mailové aplikace, například Microsoft Outlook. Když je e-mail doručen, nástroj se dotáže, zda má provést ověření, zda zpráva pochází skutečně od PayPal nebo eBay.

Zajišťuje eBay a PayPal zákaznickou podporu softwarového produktu?


Toto je náš první produkt, většina dotazů našich zákazníků jde do Iconixu. Pokud tam nejsou schopni dotaz zodpovědět, je vyřízen naším helpdeskem.

Je tento nástroj zdarma? Jak jste dospěli k rozhodnutí produkt místo vyvinutí zakoupit?

Plugin je zdarma. Měli jsme loňský rok k dispozici betaverzi, kterou jsme porovnávali s podobnými produkty od MessageLab a Goodmail, a tento produkt se nám líbil nejvíce. Nemáme zkušenosti s vlastním vývojem těchto produktů, proto jsme se rozhodli pro software společnosti Iconix a snažíme se přesvědčit naše zákazníky, aby ho používali.

 

Autor článku