Bo razem ze zmieniającą się rzeczywistością, zmieniają się także formy zagrożeń: ataki bezpośrednie ustępują miejsca tym przeprowadzanym z daleka.
Te zagrożenia to:
- Kradzież uprawnień
- Manipulacja danymi transakcji
- Przejęcie dostępu (automatyczna transakcja)
- Kradzież tożsamości (sklonowanie urządzenia)
Musimy pamiętać, że na każdym etapie naszej interakcji z przeglądarką może wydarzyć się coś złego. Tylko od nas zależy, czy będziemy na to przygotowani.
Pozorne bezpieczeństwo
Kilka lat temu do obiegu trafiły proste narzędzia 2SV (2-step verification) w postaci kodów jednorazowych, zdrapek, kodów sms czy kodów OTP. Był to krok w dobrym kierunku, choć rozwiązania zakładające generowanie kodu, a następnie przepisywanie go w oknie przeglądarki dają bezpieczeństwo pozorne. Wszystko, co trafia do okna przeglądarki może zostać przejęte przez hakera. Sprawny haker może też skutecznie zachęcić nas do wygenerowania nowego kodu. Podszywanie się pod znaną instytucję czy sklep (phishing) to bardzo popularna, a co gorsza, wciąż skuteczna metoda oszukiwania ludzi. Wiadomość email z kuszącą ofertą z naszego banku, czy ulubionego sklepu potrafi skutecznie uśpić naszą czujność.
Wystarczy jeden niewłaściwy klik, aby stać się niczego nieświadomą ofiarą wyłudzenia. Podstawowe rozwiązania 2SV są zbyt słabe by ustrzec użytkowników przed utratą środków czy dostępu do usług.
Mimo wad jakie posiadają, kody SMS wyróżnia na plus pewna szczególna cecha. Nadejście wiadomości informuje o rozpoczynającej się transakcji, a ten fakt może dawać już do myślenia, zwłaszcza kiedy siedzimy przed telewizorem i nagle otrzymujemy kod autoryzacyjny. Gorzej kiedy atak został poprzedzony duplikacją karty SIM, wtedy ofiara nie ma prawie żadnych szans, bo SMS już do niej nie trafi. Dotrze on natomiast do cyberprzestępcy, który użyje go by wykonać przelew w imieniu ofiary.
Jak się bronić?
Po pierwsze, trzeba zapomnieć o hasłach raz na zawsze, bo samodzielnie nigdy nie zapewniały one skutecznej ochrony. Po drugie, należy mądrze wybrać rozwiązanie do dwuskładnikowego uwierzytelniania i autoryzacji.
Najskuteczniejszą linią obrony są dziś narzędzia 2FA w postaci tokenów sprzętowych lub aplikacji mobilnych (token mobilny) bazujących na notyfikacjach PUSH. Te ostatnie swoim działaniem bardzo przypominają kody SMS. Ale jest różnica - otrzymany kod nie wymaga przepisania (nikt więc nie może go przechwycić), sklonowanie karty SIM nie daje dostępu do tokenu mobilnego użytkownika, a sama aplikacja może posiadać mechanizmy zabezpieczające przed klonowaniem (jak np. tPro Mobile).
Rozwiązania mobilne mogą posiadać także szereg dodatkowych zabezpieczeń, które analizują środowisko uruchomieniowe (detekcja zagrożeń), sposób działania użytkownika (analiza behawioralna), czy jego lokalizację. Wiele dostępnych narzędzi daje też gwarancję integralności wyświetlanych danych. Dzięki temu użytkownik może mieć pewność, że kwota i numer rachunku otrzymywane w treści powiadomienia PUSH są autntyczne (mechanizm WYSIWYS).
Token tu, token tam
Kolejną rodziną produktów godnych zaufania są tokeny sprzętowe. W ostatnim czasie jest ich coraz więcej, a za sprawą swojej skuteczności są coraz bardziej popularne (np. Yubiko, Titan czy tPro ECC). Rozwiazania sprzętowe dają dziś najwyższy możliwy poziom bezpieczeństwa, głównie dlatego, że bez fizycznego dostępu do nich bardzo trudno je zaatakować. Te zgodne ze standardem FIDO skutecznie chronią przed phisingiem i atakami zdalnymi, tPro ECC dodatkowo zapewnia integralność wyświetlanych użytkownikowi danych transakcji za sprawą zintegrowanego oprogramowania CCP (WYSIWYS).
Wirtualizacja pieniądza i rozwój sztucznej inteligencji sprzyjają dziś rozwojowi narzędzi do tzw. ciągłego uwierzytelniania (ang. Continous Authentication), przeprowadzanego na podstawie zachowania użytkownika. Narzędzia te wcale jednak nie zastępują silnej kryptografii – bo w najlepszym razie mogą obniżyć jedynie częstotliwość interakcji użytkownika z urządzeniem i poprawić komfort korzystania z niego.
Dlatego już dziś warto pomyśleć o skutecznej formie ochrony - bez względu na to czy będzie to token czy aplikacja mobilna.
Paweł Bułat, Product Manager Comarch
Dowiedz się więcej https://www.comarch.pl/cyber-security/