Internet Banking-ul – cel mai expus canal de distributie

Internetul este in criza, securitatea lui nu si-o mai poate asuma nimeni. O lupta de gherila se instaureaza incet incet. Riscurile de securitate se muta mai aproape de noi. Daca inainte vorbeam de atacurile de phishing, in care eram indemnati sa ne introducem datele confidentiale pe un server plasat undeva in lumea larga, in prezent atacatorii sunt pe calculatorul nostru.
Omul rau, sub forma sa virtuala, se regaseste in atacurile de Man-in–the-middle si Man-in-the browser. Sa luam exemplul aplicatiilor de Internet Banking ale bancilor. Pentru autentificare si autorizare se foloseau token-uri care iti generau o secventa unica, pe care o introduceai. Aceste tokenuri foloseau tehnologia Challenge-Response si Onetime- password (OTP). Pareau sigure si dadeau incredere ca nimic rau nu se mai poate intampla. Si asa a si fost pentru multa vreme (doar 2 ani !). In prezent, atacatorul este infiltrat in browser, se afla intre client si banca. Vechile tokenuri foloseau pentru autentificare acea secventa unica, folosibila si pentru autorizarea tranzactiei. Prin introducerea secventei si captarea ei de catre atacator, in prezent se poate opera succesiv si o alta tranzactie nedorita de client. Majoritatea token-urilor au un timp de asteptare de pâna la 30 secunde, perfect suficient pentru o operatiune fraudata. Din fericire, au aparut si tehnologiile de contracarare. Tokenurile moderne fac saltul in domeniul semnaturilor dinamice si al separarii domeniilor. Astfel, autentificarea este o operatiune separata de aceea de autorizare a tranzactiei. Iar, pentru valori mai mari, secventa de autentificare este calculata direct in functie de suma tranzactionata si chiar de numarul contului sau alte elemente suplimentare de autentificare. Separarea de domeniu este foarte importanta, deoarece protejeaza crescator clientul, in functie de tipul si valoarea operatiunii. Citeste in continuare