Technorati
Digg
Delicious
Reddit
StumbleUpon
Furl
Yahoo
Twitter
Facebook
NewsvineÚj módok az adathalászat kivédésére
Bevezetés
Tavaly augusztusban több mint 5000 támadásról számoltak be, amely mintegy 25 európai bank ellen irányult: az adathalászat nőttön-nő. Ezzel a módszerrel, amely „márkahamisítás” néven is ismeretes, pénzt vagy bizalmas adatokat szednek ki az internethasználókból, hamisított weboldalakra irányító e-mail üzenetek segítségével. Az áldozat látszólag bankjától, internet-szolgáltatójától vagy más szolgáltatótól kap üzenetet. Az üzenetben megkérik, hogy biztonsági okokból erősítse meg bejelentkezési adatait. Ha a felhasználó rákattint az üzenetben lévő hivatkozásra, ál-webhelyre jut, amely pontos mása az érintett szervezet vagy társaság weboldalának. Számos bank ügyfelei estek már bele ebbe a csapdába. Tavaly még a tsunami áldozataira hivatkozó, jótékonysági ál-weboldal is megjelent. Még a Google sem kerülte el a támadást: nemrégiben óriási nyereményekkel kecsegtették az internethasználókat, ha a népszerű keresőmotor honlapjának pontos másán megadják bankszámlaszámukat!A probléma nagyságára való tekintettel bevezették a szigorú felhasználói hitelesítést (például a Yahoo Domain Keys projekthez hasonló domainnév-hitelesítést, vagy magán és nyilvános kulcsokat) alkalmazó megoldásokat. Egyes bankok és szolgáltatók új technológiák használatával kívánnak biztonságosabb hozzáférést nyújtani ügyfeleiknek saját online számláikhoz. A következőkben bemutatunk néhány hardveres és szoftveres példát.
Tokenek és egyszer használatos jelszavak
Az adathalászat során az áldozat jelszavát vagy banki adatait fürkészik ki, hogy hozzáférhessenek online számlájához. Tokenek, azaz egyszer használatos jelszavak használatával ez a fajta támadás kivédhető. A rendszer lelke egy zsebszámológéphez hasonló kis eszköz, amely automatikusan egyszeri jelszavakat hoz létre. A felhasználó a token által megadott jelszót írja be belépéskor. A vonal másik végén a bank weboldala ugyanennek az algoritmusnak az alapján kiszámítja a létrehozandó jelszót. Ha a két jelszó egyezik, a hozzáférés engedélyezett. A létrehozott jelszó csak egyszer használható, így lehetetlen ellopni, és csalásra felhasználni. Az Egyesült Államokban és Európában számos bank és internet-szolgáltató, így az AOL (az amerikai ügyfelek esetében) ilyen tokeneket alkalmaz. Ezek a rendszerek azonban többletköltségekkel járnak az ügyfelek számára, akiknek fizetniük kell a tokenért és havonta a szolgáltatásért.
Chip-kártyák és USB-kulcsok a kiemelt biztonságért
A jelszavas védelem fokozása érdekében egyes bankok chip-kártyás vagy USB-kulcsos további azonosítási eljárást is alkalmaznak. Az ügyfeleknek ilyenkor nem csak jelszóra van szükségük a belépéshez, hanem chip-kártyát kell helyezniük egy speciális kártyaolvasóba vagy USB-kulcsot a számítógép USB-portjába. Hacsak ezt a kártyát vagy kulcsot el nem lopják, az adathalászok nem tudnak hozzáférkőzni a felhasználó bankszámlájához. A chip-kártyának azonban hátrányai is vannak: drága, ráadásul kártyaolvasó nélkül nem is használható. Az USB-kulcs szélesebb körben használható, jobb megoldásnak tűnik.
Jelszavak módosítása megadott weboldalhoz
A jelszómodosítás (hashing) az adathalászat elleni munkacsoport által javasolt módszerek egyike. Hatékony eszköz a személyes adatok kifürkészése ellen, mivel „átszámítja” a jelszót és a használni kívánt webhelyre jellemző adatokkal egészíti ki. A felhasználó szempontjából a rendszer világosan átlátható, hiszen csak a jelszavát kell megadnia egy online űrlapon. A böngésző ezután átalakítja a jelszót, és újabb adatokat kapcsol hozzá. Ez azt jelenti, hogy a felhasználó által megadott jelszót a cél webhely nem látja teljes egészében; a webhely csak a „módosított” jelszót kapja meg, majd a felhasználó által is használt hashing algoritmus alapján ad hozzáférést. Így még ha a felhasználó közzé is teszi a jelszavát egy adathalászó weboldalon, akkor sem tudják ezt felhasználni a hackerek.
Biztonság rövid szöveges üzenettel
E rendszerben az internethasználóknak saját mobiltelefonjukról küldött rövid szöveges üzenetben kell jóváhagyniuk az egyes tranzakciókat vagy átutalásokat. Előnye, hogy a bank csak akkor engedélyezi az online tranzakciót, ha a számlatulajdonostól visszaigazoló szöveges üzenetet kap. Természetesen a rendszer működésének feltétele, hogy a felhasználó megadja mobiltelefonszámát a banknak.