Technorati
Digg
Delicious
MacNation
Google
Newsvine
Newz.dk
StumbleUpon
Facebook
RedditNye metoder til at bekæmpe phishing
Der blev registreret mere end 5.000 angreb på computere i august sidste år, og ca. 25 banker i Europa har været skydeskive: Phishing-problemet breder sig stadig hastigt. Målet med denne praksis, også kendt som "brand spoofing", er at hive penge eller fortrolige oplysninger ud af internetbrugere via e-mail, som fører dem til falske websteder. Ofrene modtager en meddelelse, som ser ud som om, den virkelig kommer fra en bank, internetudbyder eller anden tjenesteudbyder på nettet. I meddelelsen bliver internetbrugeren som følge af et sikkerhedsproblem bedt om at bekræfte sine login-oplysninger. Hvis brugeren klikker på linket i meddelelsen, kommer han eller hun til et falsk websted, som er en nøjagtig kopi af den pågældende organisations eller virksomheds websted. Flere bankers kunder er allerede blevet ofre for denne type svindel. Sidste år dukkede der endda falske websteder op for velgørenhed til ofrene for flodbølgen. Også Google har været udsat for det: For nylig blev nogle internetbrugere opfordret til at indtaste nummeret på deres kontokort på en kopi af den berømte søgemaskines hjemmeside for, at de kunne vinde en præmie.
På grund af problemets omfang er der indført løsninger, hvor der anvendes stærk brugerautentificering (såsom bekræftelse af domænenavn, som i Yahoo Domain Keys-projektet, eller ved anvendelse af private og offentlige nøgler). En række banker og serviceudbydere anvender også nye teknikker til at give deres kunder en mere sikker adgang til deres onlinekonti. Her er nogle eksempler på disse hardware- og softwareløsninger.
Tokens og engangsadgangskoder
Phishing-teknikken indebærer, at offerets adgangskoder eller bankoplysninger indhentes for at få adgang til hans/hendes onlinekonto. Anvendelse af tokens sammen med adgangskoder, der kun er gyldige til engangsbrug, forhindrer denne type svindel. Systemet er baseret på en lille enhed, som ligner en lommeregner, og som automatisk genererer engangsadgangskoder. Brugeren indtaster adgangskoden, som leveres af hans/hendes token, for at få adgang til kontoen. I den anden ende anvender bankens websted samme algoritme til at beregne de adgangskoder, der skal genereres. Hvis de to adgangskoder passer sammen, gives der adgang. De genererede adgangskoder kan kun bruges én gang, hvilket gør det umuligt at stjæle dem og bruge dem svigagtigt. Mange banker i USA og Europa, samt internetserviceudbydere som AOL (for dets kunder i USA), benytter disse tokens. Imidlertid medfører systemet flere omkostninger for kunderne, som betaler for deres token og som regel også for et månedligt abonnement for serviceydelsen.
Chipkort og USB-nøgler for ekstra sikkerhed
For at forbedre sikkerheden ved adgangskoder planlægger nogle banker at tilføje en yderligere identifikationsproces, som anvender chipkort eller USB-nøgler. For at få adgang til deres onlinekonto skal kunderne ikke alene indtaste en adgangskode, men også indsætte et chipkort i en særlig kortlæser eller sætte en USB-nøgle i computeren. Medmindre kortet eller nøglen bliver stjålet, vil det være umuligt for phishing-svindlere at få adgang til brugerens bankkonto. Der er dog ulemper ved chipkortsystemet: Det er dyrt og kan ikke anvendes uden en særlig kortlæser. Specifikke USB-nøgler lader til at være det bedste valg for offentligheden.
Hashing af adgangskoder til et specifikt websted
Hashing af adgangskoder er en af de modforanstaltninger, som anbefales af Anti-Phishing Working Group. Det forhindrer identitetstyveri, da det "genberegner" adgangskoden og tilføjer oplysninger, som er specifikke for det websted, hvor det skal anvendes. Systemet er gennemskueligt set fra brugerens side, som blot skal indtaste sin adgangskode på en onlineformular. Browseren konverterer derefter adgangskoden og tilføjer andre oplysninger til den. Det betyder, at den fulde adgangskode, som indtastes af brugeren, ikke er synlig for det websted, som det er beregnet til; dette websted modtager kun den "hashede" adgangskode og tildeler derefter adgang ved at bruge samme hashing-algoritme som brugeren. Det betyder, at selv om en bruger afslører sin adgangskode på et phishing-websted, kan den ikke anvendes af hackere.
Sikkerhed via sms
Dette system indebærer, at internetbrugere bekræfter anmodninger om transaktioner eller overførsler via en sms, som sendes via deres mobiltelefon. Fordelen ved dette system er, at transaktioner på onlinekontoen ikke autoriseres, før banken har modtaget et svar på sms'en. For at systemet kan virke, skal kunderne selvfølgelig give banken deres mobiltelefonnummer.