Ako dosiahnuť bezpečnosť finančných služieb na internete

Me­dzi od­bor­nou ve­rej­nos­ťou asi nik­to ne­po­chy­bu­je o ne­bez­pe­čen­stvách čí­ha­jú­cich na pou­ží­va­te­ľov slu­žieb pos­ky­to­va­ných cez inter­net a iné elek­tro­nic­ké ka­ná­ly, ako je inter­net ban­king, mo­bi­le ban­king, SMS ban­king a služ­by prís­tup­né cez sys­té­my Inter­ac­ti­ve Voi­ce Res­pon­se (IVR). Z ča­su na čas sa ob­ja­vu­jú sprá­vy o phis­hin­go­vých, phar­min­go­vých či skim­min­go­vých ak­ti­vi­tách (ne­vyh­li sa im ani slo­ven­ské in­šti­tú­cie a ich klien­ti), prí­pad­ne o fi­nan­čných uj­mách ľu­dí, kto­rí sa sta­li obe­ťou úto­kov. Od­bor­ní­ci sa zho­du­jú v tom, že väč­ši­na in­ci­den­tov nie je nik­dy pub­li­ko­va­ná, resp. in­for­má­cie nep­rek­ro­čia hra­ni­ce od­bor­ných kru­hov.

Zne­po­ko­ju­jú­ci je fakt, že po­čas up­ly­nu­lých pár ro­kov sa zvy­šo­va­la ak­ti­vi­ta fraud­ste­rov a zdo­ko­na­ľo­va­li a vy­ví­ja­li sa no­vé so­fis­ti­ko­va­né me­tó­dy na kom­pro­mi­tá­ciu auten­ti­fi­kač­ných me­cha­niz­mov a zís­ka­nie neauto­ri­zo­va­né­ho prís­tu­pu. Na inter­ne­te mož­no náj­sť a stiah­nuť ba­lí­ky auto­ma­ti­zo­va­ných nás­tro­jov na reali­zá­ciu úto­kov - to zvy­šu­je ich dos­tup­nosť a umož­ňu­je ich vy­uži­tie aj me­nej skú­se­ný­mi jed­not­liv­ca­mi. Tie­to sku­toč­nos­ti kla­dú zvý­še­né ná­ro­ky na fi­nan­čné in­šti­tú­cie v ob­las­ti za­bez­pe­če­nia slu­žieb a s tým sú­vi­sia­cej ochra­ny zá­kaz­ní­kov pred po­dob­ný­mi ak­ti­vi­ta­mi.

Ani reak­cia in­šti­tú­cií vy­ko­ná­va­jú­cich doh­ľad nad fi­nan­čným sek­to­rom ne­da­la na se­ba dl­ho ča­kať. Fe­de­ral Fi­nan­cial In­sti­tu­tions Exami­na­tion Coun­cil (FFIEC) nap­rík­lad za­čiat­kom ro­ka vy­dal dopl­nok k do­ku­men­tu Aut­hen­ti­ca­tion in an Inter­net Ban­king En­vi­ron­ment gui­dan­ce (pub­li­ko­va­né­mu v ok­tób­ri 2005), v kto­rom ak­tua­li­zu­je in­for­má­cie o hlav­ných ri­zi­kách a nás­tro­joch, kto­ré by in­šti­tú­cie ma­li pou­ží­vať na ich eli­mi­ná­ciu. Aké ty­py úto­kov pod­ľa FFIEC fi­nan­čným in­šti­tú­ciám hro­zia?

Me­dzi naj­čas­tej­šie ús­peš­ne vy­uží­va­né me­tó­dy na zís­ka­nie auten­ti­fi­kač­ných a auto­ri­zač­ných úda­jov (nás­led­ne pou­ži­tých na prís­tup k úč­tu) pat­rí sof­tvér ty­pu key­log­ger - ide o prog­ram, kto­rý za­zna­me­ná­va všet­ky zna­ky stla­če­né na klá­ves­ni­ci a nás­led­ne ich po­sie­la člo­ve­ku, kto­rý ho cez inter­net ria­di.

Iný typ škod­li­vé­ho sof­tvé­ru umož­ňu­je us­ku­toč­ne­nie úto­ku ty­pu man-in-the midd­le (MIM) ale­bo man-in-the browser (MIB). Pri tých­to úto­koch sa útoč­ník (fraud­ster) vo­trie me­dzi zá­kaz­ní­ka a fi­nan­čnú in­šti­tú­ciu a zís­ka kon­tro­lu nad ich spo­je­ním/ko­mu­ni­ká­ciou. Útoč­ník po­tom mo­di­fi­ku­je ob­sah tran­sak­cie - nap­rík­lad zme­ní vý­šku su­my ale­bo čís­lo cie­ľo­vé­ho úč­tu (prí­pad­ne obo­je).

Už tra­dič­ný­mi me­tó­da­mi na od­cu­dzenie auten­ti­fi­kač­ných úda­jov sú phis­hing a phar­ming, keď sa útoč­ník po­kú­si zís­kať cit­li­vé úda­je po­mo­cou pod­vod­né­ho mai­lu/te­le­fo­ná­tu, resp. pres­me­ru­je zá­kaz­ní­ka na fa­loš­nú strán­ku, tvá­ria­cu sa ako strán­ka in­šti­tú­cie, s kto­rou chce zá­kaz­ník ko­mu­ni­ko­vať.

Exis­tu­je pro­ti uve­de­ným úto­kom ne­ja­ká ochra­na? Pred škod­li­vým sof­tvé­rom sa naj­čas­tej­šie brá­ni­me pou­ži­tím anti­ví­ru­so­vých prog­ra­mov. Prob­lém však je, že tu ho­vo­rí­me o ochra­ne po­čí­ta­čov v do­má­com, resp. pra­cov­nom pros­tre­dí zá­kaz­ní­ka, prí­pad­ne vo ve­rej­ných pries­to­roch (inter­ne­to­vé ka­viar­ne). Na tie ne­má fi­nan­čná in­šti­tú­cia ni­ja­ký do­sah. Ako sa te­da mô­že fi­nan­čná in­šti­tú­cia efek­tív­ne brá­niť pred spo­mí­na­ný­mi útok­mi?

Rie­še­ním, kto­ré od­po­rú­ča­jú bez­peč­nos­tní špe­cia­lis­ti a náj­de­te ho aj v uve­de­nom do­ku­men­te od FFIEC, je tzv. via­cú­rov­ňo­vé za­bez­pe­če­nie (Layered Se­cu­ri­ty). Via­cú­rov­ňo­vé za­bez­pe­če­nie mož­no cha­rak­te­ri­zo­vať pou­ži­tím rôz­nych za­bez­pe­čo­va­cích nás­tro­jov v rôz­nych bo­doch tran­sak­cie. Ne­dos­tat­ky jed­né­ho z nás­tro­jov tak mô­žu byť kom­pen­zo­va­né sil­ný­mi strán­ka­mi os­tat­ných. Me­dzi nás­tro­je, kto­ré mô­žu tvo­riť via­cú­rov­ňo­vé za­bez­pe­če­nie, pat­rí mo­ni­to­ro­va­nie a de­tek­cia po­doz­ri­vých tran­sak­cií, viac­fak­to­ro­vá auten­ti­fi­ká­cia, vzá­jom­ná auten­ti­fi­ká­cia, dopl­nko­vá auten­ti­fi­ká­cia ri­zi­ko­vých ope­rá­cií, den­né/me­sač­né li­mi­ty ob­je­mu/poč­tu tran­sak­cií, blac­klist/whi­te­list IP adries, resp. cie­ľo­vých úč­tov, iden­ti­fi­ká­cie ne­za­bez­pe­če­ných/ris­kan­tných prís­tu­po­vých za­ria­de­ní a v ne­pos­led­nom ra­de vzde­lá­va­nie zá­kaz­ní­kov. Kým niek­to­ré zo spo­mí­na­ných pr­vkov bež­ne vy­uží­va­jú aj fi­nan­čné in­šti­tú­cie na Slo­ven­sku (viac­fak­to­ro­vá auten­ti­fi­ká­cia, li­mi­ty ob­je­mu tran­sak­cií, vzá­jom­ná auten­ti­fi­ká­cia), iné sú pou­ži­té len vý­ni­moč­ne ale­bo vô­bec (de­tek­cia po­doz­ri­vých tran­sak­cií v reál­nom ča­se).

De­tek­cia po­doz­ri­vých tran­sak­cií pat­rí me­dzi zlo­ži­tej­šie pr­vky, ale pri správ­nej im­ple­men­tá­cii vie vý­raz­ne zní­žiť po­čet pod­vod­ných tran­sak­cií. Ta­ký­to sys­tém by mal mo­ni­to­ro­vať tran­sak­ciu vo via­ce­rých jej fá­zach:

• Bez­pros­tred­ne po auten­ti­fi­ká­cii mož­no po­sú­diť ďal­šie fak­to­ry, ako ne­ty­pic­ký čas prís­tu­pu k služ­be, ne­ty­pic­ké za­ria­de­nie pou­ži­té na prís­tup, ne­ty­pic­ká lo­ka­li­ta, z kto­rej klient pris­tu­pu­je, prí­pad­ne po­doz­ri­vá frek­ven­cia prís­tu­pov (v prie­be­hu nie­koľ­kých mi­nút sa pou­ží­va­teľ hlá­si k služ­be z dvoch roz­diel­nych, geog­ra­fic­ky vzdia­le­ných lo­ka­lít).

• Tran­sak­čné úda­je, ako ob­jem tran­sak­cie či cie­ľo­vý účet, pos­ky­tu­jú ďal­šie mož­nos­ti na po­sú­de­nie ri­zi­ka pod­vod­nej ak­ti­vi­ty.

Na vy­hod­no­te­nie pa­ra­met­rov a sta­no­ve­nie mie­ry ri­zi­ka mož­no pou­žiť nie­koľ­ko prís­tu­pov. Jed­ným z nich mô­že byť sta­no­vo­va­nie mie­ry ri­zi­ka na zá­kla­de vy­hod­no­co­va­nia expli­cit­ne de­fi­no­va­ných pra­vi­diel a dát, nap­rík­lad zho­da s ka­ta­ló­gom po­doz­ri­vých IP adries, prís­tu­po­vé za­ria­de­nie ozna­če­né ako ri­zi­ko­vé a po­dob­ne.

Efek­tív­na me­tó­da je vy­hod­no­co­va­nie od­chý­lok ak­tuál­nej re­lá­cie op­ro­ti štan­dar­dné­mu pro­fi­lu sprá­va­nia zá­kaz­ní­ka. Pro­fil sprá­va­nia pri­tom mô­že tvo­riť ši­ro­ká šká­la rôz­nych pr­vkov, napr. lo­ka­li­ta, z kto­rej zá­kaz­ník pris­tu­pu­je, prís­tu­po­vé za­ria­de­nie, čas prís­tu­pu, ob­jem tran­sak­cie a po­dob­ne. Vý­ho­da tej­to me­tó­dy je v tom, že sys­tém sa pros­tred­níc­tvom ucho­vá­va­nia his­tó­rie úda­jov o klien­to­vi sám „učí" a do­ká­že sa pris­pô­so­biť aj zme­nám v sprá­va­ní klien­ta.

Ďal­šia me­tó­da je pos­ta­ve­ná na hľa­da­ní zho­dy s pr­vka­mi a vzor­mi naz­na­ču­jú­ci­mi pod­vod­nú ak­ti­vi­tu. Pri tej­to me­tó­de je kľú­čo­vé mať kva­lit­nú da­ta­bá­zu vzo­rov pod­vod­né­ho sprá­va­nia. Tá mô­že vznik­núť im­por­tom his­to­ric­kých úda­jov o pod­vod­ných tran­sak­ciách a mô­že byť prie­bež­ne ak­tua­li­zo­va­ná údaj­mi z no­vých tran­sak­cií po­sú­de­ných sys­té­mom ako po­doz­ri­vé a ozna­če­ných bez­peč­nos­tný­mi ana­ly­tik­mi ako pod­vod­né.

Čo v prí­pa­de, že sys­tém iden­ti­fi­ku­je po­doz­ri­vú tran­sak­ciu? Mož­ných rie­še­ní je nie­koľ­ko - od ozna­če­nia tran­sak­cie na ďal­šie off-li­ne po­sú­de­nie (vy­tvo­re­nie tzv. ca­se) cez dopl­nko­vú auten­ti­fi­ká­ciu (napr. dopl­ňu­jú­ci­mi otáz­ka­mi) až po okam­ži­té pre­ru­še­nie tran­sak­cie. Vý­ber kon­krét­nej reak­cie zá­vi­sí od mie­ry ri­zi­ka.

O tom, že sys­tém na de­tek­ciu po­doz­ri­vých tran­sak­cií, naj­mä ak fun­gu­je on-li­ne v reál­nom ča­se, mô­že vý­raz­ne zní­žiť po­čet pod­vo­dov, sved­čí fakt, že pri ana­lý­ze in­ci­den­tov bo­li pri tran­sak­ciách, kto­ré sa uká­za­li ako pod­vod­né, jas­ne vi­di­teľ­né ano­má­lie v po­rov­na­ní s bež­ný­mi tran­sak­cia­mi zá­kaz­ní­kov. Zos­tá­va len dú­fať, že slo­ven­ské fi­nan­čné in­šti­tú­cie bu­dú rea­go­vať na zvy­šu­jú­ce sa ri­zi­ká vo vy­uží­va­ní slu­žieb na inter­ne­te a za­hr­nú sys­té­my na de­tek­ciu pod­vod­ných ak­ti­vít do svo­jich pro­jek­tov via­cú­rov­ňo­vé­ho za­bez­pe­če­nia.

Ma­rian Ku­na
Autor pra­cu­je ako Tech­no­lo­gy Sa­les Con­sul­tant, Orac­le Slo­ven­sko

Zdroj: Infoware 10/2011

Prečítajte si tiež:

Ma­gio inter­net už od 8,99€ me­sač­ne na 2 ro­ky (pred rokom)

TS: T-Com a T-Mo­bi­le: ne­ob­me­dze­ný inter­net už od 8,99 € na ce­lé dva ro­ky (pred rokom)

Neobmedzený internet za 6 eur/180,76 Sk mesačne (pred 3 rokmi)