Jak zlepšit bezpečnost bankovních služeb na internetu

Marian Kuna | 25.12.2011 | Bezpečnost, Internet a služby | Žádné komentáře

Mezi odbornou veřejností asi nikdo nepochybuje o nebezpečí číhající na uživatele služeb poskytovaných přes internet a jiné elektronické kanály, jako je internet banking (internetové bankovnictví), mobile banking (mobilní bankovnictví), SMS banking a služby přístupu přes systémy Interactive Voice Response (IVR). Čas od času se objeví zprávy o phishingových, pharmingových či skimmingových aktivitách (těm se nevyhnuly ani české a slovenské bankovní instituce a jejich klienti), případně o finančních újmách lidí, kteří se stali obětí útoků. Odborníci se shodují v tom, že většina incidentů není nikdy publikovaná, respektive informace nepřekročí hranice odborných kruhů.

Znepokojující je fakt, že během uplynulých několika let se zvyšovala aktivita fraudsterů a zdokonalovaly a vyvíjely se nové metody na kompromitaci autentifikačních mechanizmů a získání neautorizovaného přístupu. Na internetu je možné najít a stáhnout balíky automatizovaných nástrojů pro realizaci útoků na bankovní služby – to zvyšuje jejich dostupnost a umožňuje jejich využití i méně zkušenými jednotlivci. Tyto skutečnosti kladou zvýšené nároky na finanční instituce v oblasti zabezpečení služeb a s tím související ochrany zákazníků před podobnými aktivitami.

Ani reakce institucí vykonávajících dohled nad finančním sektorem na sebe nedala dlouho čekat. Federal Financial Institutions Examination Council (FFIEC) například začátkem roku vydal doplněk k dokumentu Authentication in an Internet Banking Environment Guidance (publikovanému v říjnu 2005), ve kterém aktualizuje informace o hlavních rizikách a nástrojích, které by instituce měli používat pro jejich eliminaci. Jaké typy útoků podle FFIEC finančním institucím hrozí?

Typické formy útoků
Mezi nejčastější úspěšně využívané metody na získání autentifikačních a autorizačních údajů (následně použitých pro přístup k účtu) patří software typu keylogger – jde o program, který zaznamenává všechny znaky stisknuté na klávesnici a následně je posílá člověku, který ho přes internet řídí.

Jiný typ škodlivého softwaru umožňuje uskutečnění útoku typu man-in-the-middle (MIM) a nebo man-in-the-browser (MIB). Při nich se útočník (fraudster) vetře mezi zákazníka a finanční instituci a získá kontrolu nad jejich spojením, resp. komunikací. Útočník potom modifikuje obsah transakce – například změní výšku sumy a nebo číslo cílového účtu (případně oboje).

Už tradičními metodami na odcizení autentifikačních údajů jsou phishing a pharming, pokud se útočník pokusí získat citlivé údaje pomocí podvodného e-mailu či telefonátu, respektive přesměruje zákazníka na falešnou stránku, tvářící se jako stránka bankovní instituce, se kterou chce zákazník komunikovat.

Existuje proti uvedeným útokům nějaká ochrana? Před škodlivým softwarem se nejčastěji bráníme použitím antivirových programů. Problém však je, že tu mluvíme o ochraně počítačů uživatelů, ale jak se může před útoky bránit samotná finanční instituce?

Řešením, které doporučují bezpečnostní specialisti a najdete ho i v uvedeném dokumentu od FFIEC, je tzv. víceúrovňové zabezpečení (Layered Security). Víceúrovňové zabezpečení je možné charakterizovat použitím různých zabezpečovacích nástrojů v různých bodech transakce. Nedostatky jednoho z nástrojů tak mohou být kompenzované silnými stránkami ostatních. Mezi nástroje, které mohou tvořit víceúrovňové zabezpečení, patří monitorování a detekce podezřelých transakcí, vícefaktorová autentizace, vzájemná autentifikace, doplňková autentifikace rizikových operací, denní / měsíční limity objemu / počtu transakcí, blacklist / whitelist IP adres, resp. cílových účtů, identifikace nezabezpečených / riskantních přístupových zařízení a v neposlední ředě vzdělávání zákazníků. Zatímco některé ze zmíněných prvků využívají finanční instituce v našem regionu běžně (vícefaktorová autentizace, limity objemu transakcí, vzájemná autentifikace), jiné jsou použité jen výjimečně a nebo vůbec (detekce podezřelých transakcí v reálném čase).

Nasazení detekce podezřelých transakcí
Detekce podezřelých transakcí patří mezi složitější prvky, ale při správné implementaci dokáže výrazně snížit počet podvodných transakcí. Takový systém by měl monitorovat transakci ve více fázích:

·    Už před autentifikací lze ověřit lokalitu, ze které klient přistupuje a posoudit její riziko. Rovněž se dá ověřit úroveň bezpečnosti zařízení použitého pro přístup (přístup prostřednictvím staré verze prohlížeče, nepodporující silné metody zabezpečení přístupového kanálu, může představovat zvýšené riziko).
·    Bezprostředně po autentifikaci lze posoudit další faktory, jako netypický čas přístupu ke službě, netypické zařízení použité pro přístup, netypická lokalita, ze které se klient připojuje, případně podezřelá frekvence přístupů (v průběhu několika minut se uživatel hlásí ke službě ze dvou rozdílných, geograficky vzdálených lokalit).
·    Transakční údaje, jako objem transakce či cílový účet, poskytují další možnosti pro posouzení rizika podvodné aktivity.

Na vyhodnocení parametrů a stanovení míry rizika lze použít několik metod. Jednou z nich může být stanovení míry rizika na základě vyhodnocování explicitně definovaných pravidel a dat, například shoda s katalogem podezřelých IP adres, přístupové zařízení označené jako rizikové a podobně.

Efektivní metodou je vyhodnocování odchylek aktuální relace oproti standardnímu profilu chování zákazníka. Profil chování přitom může tvořit široká škála různých prvků, například lokalita, ze které zákazních přistupuje, přístupové zařízení, čas přístupu, objem transakce a podobně. Výhoda této metody je v tom, že systém se prostřednictvím uchovávání historie údajů o klientovi sám „učí“ a dokáže se přizpůsobit i změnám v chování klienta.

Další metoda je postavená na hledání shody s prvky a vzory naznačujícími podvodnou aktivitu. Při této metoda je klíčové mít kvalitní databázi vzorů podvodného chování. Ta může vzniknout importem historických údajů o podvodných transakcích a může být průběžně aktualizovaná údaji z nových transakcí posouzených systémem jako podezřelé a označených bezpečnostními analytiky jako podvodné.

Co dělat v případě, že systém identifikuje podezřelou transakci? Možných řešení je několik – od označení transakce na další off-lince posouzení (vytvoření tzv. case), přes doplňkovou autentifikaci (například doplňujícími otázkami) až po okamžité přerušení transakce. Výběr konkrétní reakce závisí na míře rizika.

O tom, že systém na detekci podezřelých transakcí, zejména pokud funguje on-line v reálném čase, může výrazně snížit počet podvodů, svědčí fakt, že při analýze incidentů byly při transakcích, které se ukázaly jako podvodné, jasně viditelné anomálie v porovnání s běžnými transakcemi zákazníků. Zbývá jen doufat, že tuzemské finanční instituce a banky budou reagovat na zvyšující se rizika ve využívání služeb na internetu a zejména internetového bankovnictví a zahrnou systémy pro detekci podvodných aktivit do svých projektů víceúrovňového zabezpečení.

Autor pracuje jako Technology Sales Consultant, Oracle Slovensko

Zdroj: Infoware.sk

Zanechte komentář

Vaše emailová adresa nebude zveřejněna. Vyžadované informace jsou označeny *


sedm − = šest

Můžete používat následující HTML značky a atributy: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>

Copyright © ICT manažer | ISSN 1805-5486 | SEO optimalizace a přizpůsobení SEO-care.cz