• Home
• Revista
• Linkuri Utile
• Contact

• 
  Aprilie 2024 [Nr. 263]
• 
  Market Watch - Editie Speciala Decembrie, 2023
• 
  Market Watch - Editie Speciala Noiembrie, 2023
• 
  Market Watch Octombrie, 2023
• 
  Market Watch Septembrie, 2023
• 
  Market Watch Iulie - August, 2023
• 
  Market Watch - Editie Speciala - Martie, 2023
• 
  Market Watch Ianuarie-Februarie, 2023
• 
  Market Watch Decembrie, 2022
• 
  Market Watch Noiembrie, 2022
• 
  Market Watch Octombrie, 2022
• 
  Market Watch Septembrie, 2022
• 
  Market Watch Iulie - August, 2022
• 
  Market Watch Iunie, 2022
• 
  Market Watch - Editie Speciala - Mai, 2022
• 
  Market Watch Aprilie, 2022
• 
  Market Watch - Editie Speciala - Martie, 2022
• 
  Market Watch Ianuarie-Februarie, 2022
• 
  Market Watch Decembrie, 2021
• 
  Market Watch Noiembrie, 2021
• 
  Market Watch Octombrie, 2021

• Sumarul Articolelor
• Arhiva Revistei
• Abonamente

Academia Română a fost creată în 1866 pentru a cristaliza cele mai înalte valori intelectuale din provinciile românești într-o societate erudită menită să consolideze identitatea națională pe baza a patru componente esențiale: limbă și literatură, istorie, etnografie și cultură. La...

Internet Bankingul – cel mai expus canal de distribuţie (I)

Internetul este în criză, securitatea lui nu şi-o mai poate asuma nimeni. O luptă de gherilă se instaurează încet încet. Riscurile de securitate se mută cât mai aproape de noi. Dacă înainte vorbeam de atacurile de phishing, în care eram îndemnaţi să ne introducem datele confidenţiale pe un server plasat undeva în lumea largă, în prezent atacatorii sunt pe calculatorul nostru.

Omul rău, sub forma să virtuală, se regăseşte în atacurile de Man-in –the-middle şi Man-in-the browser.

Să luam exemplul aplicaţiilor de Internet Banking ale băncilor. Pentru autentificare şi autorizare se foloseau token-uri care îţi generau o secvenţă unică, pe care o introduceai. Aceste tokenuri foloseau tehnologia Challenge-Response şi One-time-password (OTP). Păreau sigure şi dădeau încredere că nimic rău nu se mai poate întâmpla. ?i aşa a şi fost pentru multă vreme (doar 2 ani !). În present, atacatorul este infiltrat în browser, se află între client şi bancă. Vechile tokenuri foloseau pentru autentificare acea secvenţă unică, folosibilă şi pentru autorizarea tranzacţiei. Prin introducerea secvenţei şi captarea ei de către atacator, în prezent se poate opera succesiv şi o altă tranzacţie nedorită de client. Majoritatea token-urilor au un timp de aşteptare de până la 30 secunde, perfect suficient pentru o operaţiune fraudată.

Din fericire, au apărut şi tehnologiile de contracarare. Tokenurile moderne fac saltul în domeniul semnăturilor dinamice şi al separării domeniilor. Astfel, autentificarea este o operaţiune separată de aceea de autorizare a tranzacţiei. Iar, pentru valori mai mari, secvenţa de autentificare este calculată direct în funcţie de suma tranzacţionată şi chiar de numărul contului sau alte elemente suplimentare de autentificare. Separarea de domeniu este foarte importantă, deoarece protejează crescător clientul, în funcţie de tipul şi valoarea operaţiunii.

Noile soluţii permit utilizarea lor inclusiv pentru operaţiunile comerciale pe Internet, pentru achiziţiile de pe Internet. Astfel, o soluţie de securitate poate deveni pentru prima dată şi un factor generator de business. Deci, investiţia nu mai trebuie privită doar ca salvare a banilor dintr-o pierdere potenţială, un cost de oportunitate, ci ca fiind generatoare de profit, prin implementarea unor soluţii inovative, bazate pe aceste tehnologii. Acelaşi token poate avea, în cadrul unui domeniu separat, o secvenţă de autorizare diferită, şi opţiunea de comerţ electronic. Multe magazine virtuale sunt conectate la gateway-urile băncilor pentru conectarea la operatorii de carduri (gen VISA sau Mastercard). Clienţii băncii pot avea opţiunea de a efectua operaţiuni sigure la aceste magazine virtuale.

În plus, aceste noi tehnologii au un sistem de autentificare inexpugnabil (încă…) prin sistemele de securitate ale cardurilor cu chip, în special standardele CAP, EMV, 3DES. Practic, informaţia personală, credenţialele principale sunt securizate în cadrul chipului de pe carduri. Normal, mai avem separat şi PIN-ul personal în cadrul autentificării cu mai multe elemente. Noile tokenuri prezintă o fantă specială de inserare a cardului bancar cu chip, prin care practic tokenul nu mai este personalizat de loc, totul depinzând de ce e înmagazinat pe chip-ul cardului. Dacă se fură cardul şi se găseste un token în care să utilizezi cardul, tot mai trebuie cunoscute PIN-ul şi user-name-ul de acces la sistem. Practic, în noul context, phisingul devine un atac învechit, fără nici un rost. Atacatorului îi trebuie nu numai datele de autentificare ci şi cardul şi terminalul fizic.

Probabil phising-erul va continua, pentru a obţine datele de pe cardul bancar şi PIN-ul acestuia, pentru a face operaţiuni pe Internet, dar nu va mai afecta de loc soluţii de Internet Banking.

Din această cauză, chiar şi phisingul se modifică, evoluează. Nu ştiu dacă aţi auzit de Vhishing în loc de Phishing.

Ce este Vhishingul? Un phishing pentru Voice-over-IP (VoIP). Se manifestă mai nou la atacurile peste Skype, în care tu crezi că suni la un număr al cuiva cunoscut, de exemplu call-center-ul de la bancă, dar la celălalt capăt nu răspunde exact persoana aşteptată, nu răspunde operatorul de la call-center-ul băncii ci al atacatorului, căruia, cu nonşalanţă, îi dai datele proprii de autentificare pentru o operaţiune telefonică. Nici o problemă, operaţiunea se va efectua, dar în contul atacatorului…

Parerea ta conteaza:

(0/5, 0 voturi)

Asemanator

• Nu exista articole asemanatoare.

Alte articole scrise de Dr. Calin Rangu

• Clienţii de IT, oameni complicaţi?
• Despre Implementarea EMV. Chip Avantaje comerciant şi client (I)
• Outsourcingul între profesie şi profeţie
• ATM-ul, între operatori şi bănci

Lasa un comentariu

Nume:
Email (nu va fi afisat):
Comentariu: