Jagg
Linkuj
Vybrali SME
Newsvine
Facebook
MySpace
Google
Delicious
Digg
RedditNové způsoby boje s phishingem
Úvod
V srpnu loňského roku bylo zaznamenáno více než 5 000 počítačových útoků a jejich terčem bylo mimo jiné přibližně 25 evropských bank: problém phishingu se stále více rozrůstá. Cílem této praktiky, také známé jako „brand spoofing“, je získat od uživatelů Internetu peníze nebo důvěrné informace prostřednictvím e-mailů, které je navádějí na falešné webové servery. Oběti dostanou zprávu, která vypadá, jakoby skutečně přicházela od banky, poskytovatele služeb Internetu nebo jiného poskytovatele služeb online. Zpráva žádá uživatele Internetu, aby kvůli potížím se zabezpečením potvrdil své údaje pro přihlášení. Pokud uživatel klepne na odkaz ve zprávě, přejde na falešný webový server, který je dokonalou kopií webového serveru dotyčné organizace nebo společnosti. Obětí tohoto typu podvodu se již stali zákazníci několika bank. Minulý rok se dokonce objevily falešné charitativní webové servery pro oběti vln tsunami. Postižen byl dokonce samotný Google: uživatelé Internetu byli nedávno na replice domovské stránky tohoto slavného vyhledávače vyzváni k zadání čísla své platební karty s tím, že mohou získat výhru!
Vzhledem k rozsahu problému byla zavedena řešení využívající silné ověřování uživatelů (například ověřování názvu domény použité v projektu doménových klíčů společnosti Yahoo, nebo použití soukromých a veřejných klíčů). Několik bank a poskytovatelů služeb umožňuje zákazníkům bezpečnější přístup k jejich účtům online pomocí nových technik. V následující části je uvedeno několik příkladů těchto hardwarových a softwarových řešení.
Kalkulátory a hesla pro jedno použití
Technika phishingu usiluje o získání hesel nebo bankovních údajů obětí s cílem získat přístup k jejich účtům online. Tomuto typu podvodů zabraňuje použití kalkulátorů a hesel, která jsou platná pouze pro jedno použití. Systém je založen na malém zařízení, které vypadá jako kapesní kalkulačka a automaticky generuje jednorázová hesla. Uživatel při přístupu ke svému účtu zadá heslo vytvořené jeho vlastním kalkulátorem. Webový server banky na druhém konci použije k vypočtení hesla stejný algoritmus. Pokud se tato dvě hesla shodují, přístup je udělen. Vygenerovaná hesla mohou být použita pouze jednou, takže nemohou být ukradena a zneužita. Tyto kalkulátory používá mnoho bank v USA a v Evropě i řada poskytovatelů služeb Internetu, například AOL (pro své zákazníky v USA). Tento systém však přináší zvýšení nákladů zákazníků, kteří platí za kalkulátor a obvykle také měsíční poplatek za používání služby.
Vyšší zabezpečení prostřednictvím čipových karet a klíčů USB
V rámci úsilí o zvýšení bezpečnosti hesla některé banky plánují zavedení dalšího identifikačního procesu využívajícího čipové karty nebo klíče USB. Zákazníci by v tomto případě při přístupu ke svému účtu online museli nejen zadat heslo, ale museli by také vložit čipovou kartu do speciální čtečky nebo zasunout klíč USB do počítače. Pokud nedojde ke krádeži karty nebo klíče, podvodníci nebudou schopni pomocí techniky phishingu získat přístup k bankovnímu účtu uživatele. Systém čipových karet má ale také svoje nevýhody: je drahý a nelze jej používat bez speciální čtečky. Lepším řešením pro širokou veřejnost se zdají být speciální klíče USB.
Hašování hesla pro konkrétní server
Hašování hesla je jedno z protiopatření doporučených pracovní skupinou Anti-Phishing Working Group. Úspěšně zabraňuje zcizení identity, protože heslo „přepočítává“ a přidává k němu informace specifické pro server, pro který je určeno. Systém je transparentní z pohledu uživatele, který pouze zadává své heslo do formuláře online. Prohlížeč poté toto heslo přepočítá a přidá k němu další informace. To znamená, že úplné heslo zadané uživatelem zůstává skryté před webovým serverem, pro který je určeno. Server dostane pouze „hašované“ heslo a udělí přístup pomocí stejného hašovacího algoritmu, jaký používá uživatel. To znamená, že i když uživatel heslo prozradí na podvodném webovém serveru, hackeři je nebudou moci použít.
Zabezpečení prostřednictvím textových zpráv
Tento systém vyžaduje od uživatelů Internetu potvrzení žádosti o transakci nebo převod prostřednictvím textové zprávy zaslané z jejich mobilního telefonu. Výhodou tohoto systému je, že transakce na účtu online nejsou autorizovány, dokud banka neobdrží odpověď na textovou zprávu. Aby tento systém fungoval, zákazníci samozřejmě musejí bance poskytnout číslo svého mobilního telefonu.