Det ble registrert mer enn 5000 dataangrep i august i fjor, og rundt 25 europeiske banker har erfart problemer. Phishing-fenomenet fortsetter å utbre seg. Målet med denne virksomheten (også kjent som ”brand spoofing”, eller merkeforfalskning), er å stjele penger eller konfidensiell informasjon fra Internett-brukere ved hjelp av e-post som sender dem til falske web-sider. Ofrene mottar en melding som synes å komme fra en bank, ISP eller annen elektronisk tjenesteleverandør. Meldingen ber Internett-brukeren om å bekrefte sin påloggingsinformasjon, grunnet et sikkerhetsproblem. Hvis brukerne klikker på lenken i beskjeden, blir de videresendt til en falsk web-side som er en tro kopi av det aktuelle selskapets eller organisasjonens hjemmeside. Allerede har kunder i flere banker blitt ofre for denne type bedrageri. I fjor ble det til og med registrert falske web-sider for innsamling av midler til ofrene for Tsunami-katastrofen. Google har også blitt kopiert: Nylig ble Internett-brukere invitert til å skrive inn sine bankkortnumre på en kopi av Google-siden, slik at de kunne vinne en premie!

Dette problemet har et stort omfang, og løsninger som krever omfattende brukerautentisering er blitt introdusert (for eksempel domenenavnsautentiseringen i prosjektet Yahoo Domain Keys eller bruken av private og offentlige nøkler). Flere banker og tjenesteleverandører bruker også nye teknikker for å gi kundene sikrere tilgang til sine elektroniske konti. Her er noen eksempler på disse maskin- og programvareløsningene.

Kodekalkulatorer og engangspassord

Phishing-teknikken går ut på at man skaffer seg offerets passord eller bankinformasjon slik at man får elektronisk tilgang til kontoen. Bruken av kodekalkulatorer med engangspassord forhindrer denne typen bedrageri. Systemet er basert på et lite apparat, som ser ut som en lommekalkulator, som genererer passord som kun er gyldig en gang. Brukeren skriver inn passordet som oppgis på kodekalkulatoren for å få tilgang til kontoen. I den andre enden bruker bankens web-side same algoritme for å beregne passordet som skal genereres. Hvis det er samsvar mellom de to passordene, gis det tilgang til kontoen. Passordene som genereres kan bare brukes en gang. Dette gjør det umulig å stjele dem og bruke dem til bedrageri. Mange banker I USA og Europa bruker slike kodekalkulatorer, i tillegg til Internett-leverandører som AOL (for sine kunder i USA). Dette systemet innebærer imidlertid en merkostnad for kunden, som betaler for kodekalkulatoren og vanligvis også for et månedlig abonnement på tjenesten.

Databrikkekort og USB-nøkler for ytterligere sikkerhet

For å øke passordsikkerheten, planlegger noen banker å legge til en ekstra identifikasjonsprosess som bruker databrikkekort eller USB-nøkler. For å få elektronisk tilgang til kontoen, må kundene i dette tilfelle ikke bare angi et passord, men også sette inn et databrikkekort i en spesiell kortleser eller en USB-nøkkel inn i datamaskinen. Med mindre kortet eller nøkkelen stjeles, gjør dette det umulig for phishing-bedragere å skaffe seg tilgang til brukerens bankkonto. Systemet med databrikkekort har imidlertid noen ulemper. Det er dyrt, og kan ikke brukes uten en spesiell kortleser. Spesifikke USB-nøkler synes å være et bedre valg for vanlige brukere.

Passord-hashing for en spesifikk side

Passord-hashing er ett av mottiltakene som anbefales av arbeidsgruppen Anti-Phishing Working Group. Dette er en god løsning mot identitetstyveri, siden den "rekalkulerer" passordet, og legger til informasjon som er spesifikk for den siden det skal brukes på. Fra brukerens synspunkt er systemet transparent – brukeren skriver bare inn sitt passord i et elektronisk skjema. Web-leseren konverterer passordet, og legger til annen informasjon. Dette betyr at det fullstendige passordet som legges inn av brukeren, ikke er synlig for web-siden det skal brukes på. Web-siden mottar bare det bearbeidede (”hashed”) passordet, og gir tilgang ved bruk av samme hashing-algoritme som brukeren. Dette betyr at passordet ikke kan benyttes av hackere, selv om brukeren legger inn sitt passord på en phishing-webside.

Sikkerhet via tekstmeldinger

Dette systemet innebærer at Internett-brukere bekrefter transaksjoner eller overføringer via en tekstmelding som sendes fra deres mobiltelefon. Fordelen med dette systemet er at transaksjoner fra den elektroniske kontoen ikke autoriseres før banken har mottatt et svar på tekstmeldingen. For at dette systemet skal fungere, må kunden selvsagt oppgi sitt mobiltelefonnummer til banken.

Beslektede lenker