Revista si suplimente
MarketWatch
Inapoi Inainte

Phishing-ul, problema băncii sau a clienţilor?

01 Iunie 2009



Întrebarea este legitimă pe o piaţă în care atacurile tip phishing se înmulţesc pe zi ce trece, iar părţile implicate, bănci şi clienţi, nu par a avea o reacţie pe măsura fenomenului.

Lupta împotriva criminalităţii informatice este similară cursei înarmărilor din perioada războiului rece. Orice soluţie de securitate ar propune o bancă, cu siguranţă se vor găsi câţiva băieţi deştepţi care vor găsi o modalitate să o ocolească şi totul se ia de la capăt. Nu toate băncile au însă acelaşi nivel de protecţie, iar infractorii aleg băncile unde este uşor de extras bani şi care, evident, au mai mulţi clienţi. Totuşi, Phishing nu se face doar la Raiffeisen, ci şi la BRD, RomCard, Banca Transilvania, BankPost etc. Din păcate, specialiştii spun că numărul acestor atacuri va creşte constant, deoarece, spre exemplu, numărul atacurilor de phishing ce ţintesc Raiffeisen e în continuare extrem de mic faţă de cel al atacurilor ce ţintesc BankOfAmerica.


,,Phishingul în România este în plină ascensiune, dar numărul de atacuri pe zi şi numărul de bănci atacate este încă foarte mic faţă de ce vom vedea în viitor“, afirmă Alexandru Cătălin Cosoi, Senior Researcher / BitDefender AntiSpam Laboratory de la Bitdefender. Am remarcat însă că băncile, timid totuşi, au venit cu diverse soluţii de prevenire, mai mult sau mai puţin eficiente:


- Educarea clienţilor - Până şi phishingurile spun că banca nu va cere niciodată informaţii confidenţiale, rugându-te totuşi să te reloghezi.
- Autentificare bazată pe certificate - sunt phishinguri care spun că se face un update la certificate şi se doreşte selectarea solicitării de „update certificate”.
- Parole peste parole peste parole - nici o problemă, vor cere doar datele de pe card.
- Adăugarea de noi conturi în sistemul de online banking se va face doar telefonic prin validarea de informaţii personale (date CI etc) - unele phishinguri (chiar în România) cer deja datele acestea.
- Token based - „Dragă clientule... introdu te rog user, parola, şi tokenul curent. Banca nu-ţi va cere niciodată doar combinaţia de user şi parolă. Noi cerem şi tokenul, deci clar suntem legitimi, iar un script automat va începe deja să plimbe banii prin diverse conturi (unele automat, altele prin persoane racolate prin programe de „work@home“). Şi exemplele pot continua.


Securitate versus utilizare


Scopul unui serviciu bancar este să fie utilizat, iar banca poate adăuga zeci de sisteme de securitate, însă trebuie să aibă în vedere că, dacă totul devine prea complicat, prea puţini clienţi vor adera la acest sistem. Phishingul nu vizează atacuri în masă şi nu urmăreşte să păcălească pe toată lumea (de regulă enervează în 98% din cazuri), însă dacă 0.01% din persoanele la care acest email a fost trimis au „muşcat momeala“, scopul lui a fost atins. „Costurile pentru spamul de o asemenea anvergură (încă mică, reţineţi, dacă ne referim doar la România) e undeva la câteva zeci de dolari. De regulă, un kit de phishing la Raiffeisen se poate obţine şi gratuit de pe internet. Un singur om dacă este păcălit, este suficient să asigure o marjă de profit pentru investiţia efectuată“, consideră Alexandru Cătălin Cosoi.


De la phishing la pharming

Pentru că phishingul nu este o armă de masă, sunt de aşteptat atacuri mai inteligente şi mai targetate din categoria: pharming şi spear-phishing. Pe fondul utilizării tot mai intense şi în România a site-urilor de social networking ca LinkedIn, Facebook etc.


,,Ne aşteptăm la atacuri targetate. Mai ales datorită dezvoltării instrumentelor de social media şi a faptului că tot mai mulţi utilizatori din România au cel puţin un profil pe LinkedIn. Dacă un număr tot mai mare de utilizatori ai Internetului ştiu deja ce este phishing-ul, suntem siguri că puţini au auzit de „verişorul primar” şi mai sofisticat al său, denumit “pharming”. Ca şi phishing-ul, pharming-ul încearcă să păcălească utilizatorul să viziteze un anumit site şi să sustragă informaţii confidenţiale. Cu toate acestea, în loc să păcălească destinatarii să acceseze un link dintr-un e-mail, pharmingul poate redirecţiona în secret victimele către un site compromis direct din browserul web“, este de părere Alexandru Cătălin Cosoi.


Pharming-ul elimină definitiv existenţa unui e-mail ca “momeală” şi este, în consecinţă, mult mai periculos decât tehnicile uzuale de phishing. Chiar şi un utilizator cunoscător în ale phishing-ului, poate cădea cu uşurinţă victimă unei tentative de pharming, fără măcar să-şi dea seama, iar posibilitatea ca userul să ignore atenţionarea unei soluţii de antiphishing este cu atât mai mare cu cât pagina către care va fi redirecţionat va imita la perfecţie toate caracteristicile paginii oficiale ale băncii - un user foarte avizat ar putea considera că este, de fapt, o eroare a soluţiei de securitate şi va continua procesul de log in.


Cea mai bună armă – Educaţia

Chiar dacă pentru 98% dintre utilizatori aceste atacuri sunt prost concepute şi nu produc pagube directe, aduc însă mari prejudicii de imagine, mai ales când sunt repetitive. Cea mai simplă măsură ar fi ca băncile să anunţe permanent orice atac semnificativ care le foloseşte numele şi elementele de identificare – logo, sigla etc. Nu neapărat în presă, ci bazei proprii de clienti.


,,Informarea şi educaţia sunt cele mai eficiente arme antiphishing.Un simplu mail cu cel mai nou atac şi un reminder cu paşii de urmat ca să te fereşti de ele sau să le identifici cu usurinţă. Apoi, sunt campaniile de informare mai largi, care pot fi desfăşurate la sediul fiecărei sucursale etc. Noi, ca şi companie de securitate, le putem pune oricând la dispoziţie informaţiile necesare sau detalii mai tehnice pentru a lămuri orice aspect legat de acestea“, declara Alexandru Cătălin Cosoi.



Parerea ta conteaza:

(0/5, 0 voturi)

Lasa un comentariu



trimite