Technorati
dodajdo
OSnews
Wykop
Gwar
W Pigułce
Buzz
Digg
NewsvineNowe sposoby walki z atakami typu „phishing”
Wprowadzenie
W sierpniu ubiegłego roku odnotowano ponad pięć tysięcy ataków na komputery. Ich celem było między innymi około 25 europejskich banków. Mamy więc do czynienia z błyskawiczną ekspansją problemu. Ataki typu „phishing”, zwane również „brand spoofing” (ang. „podrabianie marki”), mają na celu wyłudzenie od użytkowników Internetu pieniędzy lub poufnych informacji za pośrednictwem wiadomości e mail zawierających łącza do fałszywych stron WWW. Ofiara ataku otrzymuje wiadomość przypominającą informacje od banku, dostawcy usług internetowych lub innych usług sieciowych. Wiadomość ta zawiera prośbę o potwierdzenie identyfikatora i hasła umotywowaną kłopotami z zabezpieczeniem. Po kliknięciu zawartego w niej łącza wyświetlana jest strona WWW do złudzenia przypominająca stronę organizacji lub firmy, która jest rzekomo nadawcą wiadomości. Ofiarą tego typu oszustw padli już klienci kilku banków. W ubiegłym roku pojawiły się nawet fałszywe strony poświęcone zbiórce pieniędzy na rzecz ofiar tsunami. Także serwis Google nie ustrzegł się przed atakiem: internautów proszono ostatnio o wpisanie numeru karty kredytowej w polu tekstowym na stronie udającej tę słynną wyszukiwarkę, kusząc ich obietnicą nagrody.Biorąc pod uwagę zasięg problemu, wprowadza się rozwiązania wykorzystujące metody silnego uwierzytelniania, takie jak autoryzacja w domenie (np. w ramach projektu Yahoo Domain Keys) lub klucze prywatne i publiczne. Część banków i dostawców usług korzysta również z nowych technik w celu zapewnienia klientom bezpieczniejszego niż dotąd dostępu do ich kont w sieci. Poniżej omówiono niektóre sprzętowe i programowe rozwiązania zabezpieczające.
Tokeny i hasła jednorazowe
W ramach ataków typu „phishing” podejmowane są próby uzyskania hasła lub danych bankowych ofiary w celu zalogowania się na jej konto. Korzystając z tokenów generujących hasła jednorazowe, można ustrzec się przed oszustwami tego typu. Rozwiązanie to jest oparte na małym urządzeniu przypominającym kieszonkowy kalkulator, które automatycznie generuje hasła jednorazowe. Użytkownik wprowadza hasło wygenerowane przez token, aby uzyskać dostęp do konta. Strona internetowa banku korzysta z tego samego algorytmu w celu obliczenia hasła. Konto udostępniane jest tylko wówczas, gdy oba hasła są identyczne. Z wygenerowanego hasła można skorzystać tylko raz, co uniemożliwia jego kradzież i posłużenie się nim przez nieuprawnionego użytkownika. Wiele amerykańskich i europejskich banków oraz dostawców usług internetowych wykorzystuje tokeny (przykładem może być amerykański operator AOL). Rozwiązanie to pociąga jednak za sobą dodatkowe koszty, które ponoszą klienci, płacąc za token i opłacając miesięczny abonament za usługi.
Zabezpieczenie dodatkowe: karty chipowe i przenośne klucze USB
Aby zwiększyć bezpieczeństwo operacji wymagających podania hasła, niektóre banki planują wprowadzenie dodatkowego procesu identyfikacji, realizowanego za pomocą karty chipowej lub przenośnego klucza USB. Aby uzyskać dostęp do chronionego w ten sposób konta internetowego, użytkownikowi nie wystarczy już hasło. Będzie musiał wsunąć kartę chipową do specjalnego czytnika lub podłączyć do komputera przenośny klucz USB. Osoby nieuprawnione mogłyby uzyskać dostęp do konta bankowego użytkownika jedynie przez kradzież karty lub dysku. Karta chipowa ma jednak pewne minusy: jest droga, a do korzystania z niej niezbędny jest specjalny czytnik. Wydaje się, że lepszym rozwiązaniem dla klienta masowego są przenośne klucze USB.
Haszowanie haseł dla określonej witryny
Haszowanie (mieszanie) haseł to jeden ze środków zaradczych polecanych przez organizację Anti-Phishing Working Group. Skutecznie zapobiega on próbom kradzieży tożsamości, niejako obliczając hasło na nowo i dodając do niego informacje specyficzne dla witryny, w której ma ono zostać użyte. System jest „przezroczysty” dla użytkownika i wymaga jedynie podania hasła w formularzu internetowym. Przeglądarka poddaje to hasło konwersji i dodaje do niego pewne informacje. Oznacza to, że hasło w postaci wprowadzonej przez użytkownika nie jest widoczne dla witryny, w której ten użytkownik się loguje. Przesyłany jest tam tylko wynik funkcji mieszającej, zaś witryna udostępnia użytkownikowi konto po zastosowaniu tego samego algorytmu mieszania. Nawet jeśli użytkownik ujawni hasło oszustom internetowym, ci nie mogą z niego skorzystać.
Zabezpieczenia przy użyciu wiadomości tekstowych
System ten wymaga potwierdzenia przez użytkownika żądania transakcji lub przelewu za pomocą wiadomości tekstowej wysłanej z telefonu komórkowego. Zaletą tego rozwiązania jest uzależnienie autoryzacji transakcji sieciowych od otrzymania przez bank odpowiedzi na wysłaną wiadomość tekstową. Warunkiem działania systemu jest podanie bankowi numeru telefonu komórkowego.