Zły człowiek w telefonie

Bo o ile dość sprawnie radzimy sobie z zarządzaniem dostępem do samego urządzenia, znacznie trudniej jest nam ochronić je przed złośliwym oprogramowaniem.

Ilość malware’u, którego nie wychwytują mechanizmy bezpieczeństwa Google Store wciąż jest spora. Wg McAfee przełomowy był rok 2017: w sumie zidentyfikowano wówczas 4000 typów zagrożeń, a każdy z tych typów występował w dziesiątkach odmian. Łączna liczba złośliwego oprogramowania w segmencie kryptowalut wzrosła wtedy o 70%, a w bankowości mobilnej o 60%.

Sprawę komplikują: po pierwsze, dominacja rynku przez dwa mobilne systemy operacyjne, po drugie: nasze własne przyzwyczajenia - niechęć do aktualizacji oraz rozszerzania mechanizmów bezpieczeństwa, które najczęściej wydłużają czas danej operacji, np. logowania.

Istnieją jednak takie zagrożenia, przed którymi zasadniczo nie sposób się obronić, a na występowanie których nie mamy żadnego wpływu. Jednym z nich jest klonowanie kart SIM: proceder skuteczny, bo „cichy”. Śledzą Cię przez wiele tygodni, by uderzyć gdy najmniej się tego spodziewasz. A Ty nawet wtedy trwasz w błogiej nieświadomości.

Najpierw haker instaluje Ci w telefonie oprogramowanie szpiegowskie umożliwiające przechwycenie Twoich danych logowania do banku. Następnie, wiedząc już dostatecznie dużo, wyrabia fałszywy dowód osobisty i za jego okazaniem pozyskuje od operatora duplikat Twojej karty SIM.

Teraz wystarczy, że zaloguje się do sieci GSM, żeby zlecić przelew i odebrać SMS z kodem autoryzacji. Nowo zalogowana karta (duplikat) spowoduje problemy z dostępnością sieci u Ciebie, dlatego też nagła utrata zasięgu, czy wylogowanie z sieci to dla Ciebie pierwszy sygnał, że może dziać się coś złego.

Skala tego procederu wskazuje na to, że zwyczajnie się opłaca. Często za jednym razem wyprowadzane są setki tysięcy złotych, które szybko wędrują na rynki kryptowalutowe (gdzie znikają bez śladu), lub wypłacane są w sposób zmasowany i skoordynowany w bankomatach, w różnych lokalizacjach jednocześnie.

W branży finansowej dobrym rozwiązaniem wydaje się token mobilny umożliwiający uwierzytelnianie i autoryzację. Jeszcze lepszym - dedykowane urządzenie kryptograficzne zgodne z PSD2.

Takie rozwiązania rejestrują każdą próbę aktywacji nowego telefonu. Przy odpowiedniej procedurze „parowania” masz gwarancję, że nikt inny nie podszyje się pod Ciebie - nawet w przypadku posiadania duplikatu Twojej karty SIM.

Proces ten w całości kontrolowany jest przez bank i nie ma obaw, że operator komórkowy zmieni swoje procedury rozszczelniając w ten sposób procedury bankowe.

Istnieją rozwiązania (jak np. tPro ECC) wyposażone w mechanizmy broniące przed atakami zdalnymi gdy użytkownika nie ma przy stacji roboczej (HPD – Human Presence Detection). Istnieje także możliwość sparowania takich mechanizmów z popularnymi usługami takimi jak Gmail, czy Facebook. Dzięki temu, poza samym rachunkiem bankowym, można też kontrolować dostęp do innych, ważnych dla użytkownika zasobów.

Najlepsze tokeny mobilne do autoryzacji transakcji zapewniają także mechanizm wykrywania ataków oraz model WYSIWYS (What You See Is What You Sign) – „co widzisz, to podpisujesz”. Dane transakcji muszą być ponownie wprowadzone w osobnym urządzeniu, gdzie użytkownik podejmuje ostateczną decyzję o akceptacji bądź odrzuceniu przelewu. Pozwala to uniknąć podmiany kwoty i numeru rachunku bez wiedzy użytkownika w zaakceptowanej już przez niego transakcji. Bardzo rzadko sprawdzamy w końcu czy dane w SMS-ie dotyczące odbiorcy i kwoty są prawidłowe.

Powoli zapominamy o SMS-ach: wypierają je chaty i komunikatory. Nadchodzi czas, aby zapomnieć o nich w kontekście mechanizmu autoryzacyjnego dla bankowości. Ostatnia skala ataków dowodzi wprost, że mechanizm ten jest dziurawy – i że proceder wyłudzania duplikatów kart SIM i danych logowania użytkownika pozwala na pełną kontrolę nad jego kontem bankowym. Atakujący może dysponować zgromadzonymi tam środkami jak chce i kiedy chce.

To najlepszy moment by zacząć korzystać z nowoczesnych, bezpiecznych mechanizmów do uwierzytelniania i autoryzacji takich jak tokeny sprzętowe oraz aplikacje mobilne.

Jeśli te ostatnie wspierają kryptografię asynchroniczną do ochrony komunikacji z serwerem bankowym, (jak np. tPro Mobile) zyskujemy dodatkową silną ochronę danych, co uniemożliwia ich odczytanie przez atakującego. Wsparcie dla biometryki (linie papilarne, rozpoznawanie twarzy) pozwala z kolei na szybkie i wygodne uwierzytelnianie, co znacznie skraca czas potrzebny do autoryzacji danych.

Artykuł sponsorowany