Hakeri pobjeđuju najsigurnije postupke autentifikacije

Sec_news_062-online_banking

Sigurnosno izvješće organizacije Gartner Inc. ukazuje kako sigurnosne mjere, poput uporabe jednokratnih lozinki (eng. one-time passwords) i korisničke autentikacije temeljene na telefonima, više nisu dovoljne za zaštitu online bankarskih sustava.

 

Računalni kriminalci koriste sofisticirane taktike kako bi nadmudrili sustave i ukrali podatke (eng. credentials) za prijavu korisnika. Jedan od mogućih napada predstavlja uporabu trojanskih konja (eng. Trojan) koji kradu jednokratne lozinke te istovremeno obavljaju prijenos novčanih sredstava. U slučaju da banka koristi sustave za autentikaciju temeljene na telefonima, kriminalci mogu iskoristiti prosljeđivanje poziva (eng. call forwarding) kako bi napadač dobio odgovor od financijske ustanove umjesto legitimnog korisnika. Budući da bilo koja metoda autentikacije koja ovisi o pregledniku može biti napadnuta i ugrožena, banke trebaju početi koristiti detekciju prijevara na poslužitelju (eng. server-based fraud detection) za praćenje transakcija sa sumnjivim uzorcima. Cilj je omogućiti praćenje postupka prijave, navigacije i transakcije kako bi se uočila bilo kakva nepravilnost koja bi ukazala kako automatizirani zloćudni program pristupa aplikaciji. Na primjer, trojanski konj može obaviti transakciju za manje od jedne sekunde dok korisniku treba 20-30 sekundi da unese željeni novčani iznos i potvrdi prijenos. Sigurnosni stručnjaci savjetuju uporabu posebnih alata za provjeru razlika između uzoraka bankarskih online transakcija i normalnog ponašanja korisnika. Za dodatne informacije korisnicima se preporuča pregled stranica portala COMPUTERWORLD.

© Laboratorij za sustave i signale - Copyright 2008 - 2013. www.LSS.hr