Internet Banking-ul – cel mai expus canal de distributie

Internetul este in criza, securitatea lui nu si-o mai poate asuma nimeni. O lupta de gherila se instaureaza incet incet. Riscurile de securitate se muta mai aproape de noi. Daca inainte vorbeam de atacurile de phishing, in care eram indemnati sa ne introducem datele confidentiale pe un server plasat undeva in lumea larga, in prezent atacatorii sunt pe calculatorul nostru.
Omul rau, sub forma sa virtuala, se regaseste in atacurile de Man-in–the-middle si Man-in-the browser. Sa luam exemplul aplicatiilor de Internet Banking ale bancilor. Pentru autentificare si autorizare se foloseau token-uri care iti generau o secventa unica, pe care o introduceai. Aceste tokenuri foloseau tehnologia Challenge-Response si Onetime- password (OTP). Pareau sigure si dadeau incredere ca nimic rau nu se mai poate intampla. Si asa a si fost pentru multa vreme (doar 2 ani !). In prezent, atacatorul este infiltrat in browser, se afla intre client si banca. Vechile tokenuri foloseau pentru autentificare acea secventa unica, folosibila si pentru autorizarea tranzactiei. Prin introducerea secventei si captarea ei de catre atacator, in prezent se poate opera succesiv si o alta tranzactie nedorita de client. Majoritatea token-urilor au un timp de asteptare de pâna la 30 secunde, perfect suficient pentru o operatiune fraudata. Din fericire, au aparut si tehnologiile de contracarare. Tokenurile moderne fac saltul in domeniul semnaturilor dinamice si al separarii domeniilor. Astfel, autentificarea este o operatiune separata de aceea de autorizare a tranzactiei. Iar, pentru valori mai mari, secventa de autentificare este calculata direct in functie de suma tranzactionata si chiar de numarul contului sau alte elemente suplimentare de autentificare. Separarea de domeniu este foarte importanta, deoarece protejeaza crescator clientul, in functie de tipul si valoarea operatiunii.
Noile solutii permit utilizarea lor inclusiv pentru operatiunile comerciale pe Internet, pentru achizitiile de pe Internet. Astfel, o solutie de securitate poate deveni pentru prima data si un factor generator de business. Deci, investitia nu mai trebuie privita doar ca salvare a banilor dintr-o pierdere potentiala, un cost de oportunitate, ci ca fiind generatoare de profit, prin implementarea unor solutii inovative, bazate pe aceste tehnologii. Acelasi token poate avea, in cadrul unui domeniu separat, o secventa de autorizare diferita, si optiunea de comert electronic. Multe magazine virtuale sunt conectate la gateway- urile bancilor pentru conectarea la operatorii de carduri (gen VISA sau Mastercard). Clientii bancii pot avea optiunea de a efectua operatiuni sigure la aceste magazine virtuale.
In plus, aceste noi tehnologii au un sistem de autentificare inexpugnabil (inca…) prin sistemele de securitate ale cardurilor cu chip, in special standardele CAP, EMV, 3DES. Practic, informatia personala, credentialele principale sunt securizate in cadrul chipului de pe carduri. Normal, mai avem separat si PIN-ul personal in cadrul autentificarii cu mai multe elemente. Noile tokenuri prezinta o fanta speciala de inserare a cardului bancar cu chip, prin care practic tokenul nu mai este personalizat de loc, totul depinzand de ce e inmagazinat pe chip-ul cardului. Daca se fura cardul si se gaseste un token in care sa utilizezi cardul, tot mai trebuie cunoscute PIN-ul si user-name-ul de acces la sistem.
Practic, in noul context, phisingul devine un atac invechit, fara nici un rost. Atacatorului ii trebuie nu numai datele de autentificare ci si cardul si terminalul fizic. Probabil phising-erul va continua, pentru a obtine datele de pe cardul bancar si PIN-ul acestuia, pentru a face operatiuni pe Internet, dar nu va mai afecta de loc solutii de Internet Banking.
Din aceasta cauza, chiar si phisingul se modifica, evolueaza. Nu stiu daca ati auzit de Vhishing in loc de Phishing.
Ce este Vhishingul? Un phishing pentru voice-over-IP (VoIP). Se manifesta mai nou la atacurile peste Skype, in care tu crezi ca suni la un numar al cuiva cunoscut, de exemplu call-center-ul de la banca, dar la celalalt capat nu raspunde exact persoana asteptata, nu raspunde operatorul de la call-center-ul bancii ci al atacatorului, caruia, cu nonsalanta, ii dai datele proprii de autentificare pentru o operatiune telefonica. Nici o problema, operatiunea se va efectua, dar in contul atacatorului…

Articol publicat de Calin Rangu, CEO IIRUC Service in Bank Watch, martie 2010.