Connect with us

Firma

Czy istnieje choć jedna bezpieczna metoda autoryzacji transakcji w bankowości internetowej i mobilnej?

Opublikowano

on

Pod koniec października miało miejsce szóste już spotkanie z cyklu Wheel Evening – nieformalnych spotkań społeczności z branży bezpieczeństwa IT, organizowanych przez firmę Wheel Systems.

Gościem specjalnym 6. edycji był Paweł Goleń, piastujący stanowisko IT Risk & Specialist w UBS, ekspert w dziedzinie bankowości internetowej, a także projektant i wieloletni tester wykorzystywanych w nich mechanizmów bezpieczeństwa.

Tym razem w trakcie spotkania Wheel Evening skupiono się na słabych i mocnych stronach najpopularniejszych metod autoryzacji, wykorzystywanych m.in. do autoryzacji transakcji bankowych. W samej tylko Polsce aktywnie korzysta z nich ponad 8 milionów klientów banków. Większość nieświadoma związanych z tym zagrożeń.

Z analizy wynika, że żaden ze sposobów autoryzacji nie gwarantuje 100 proc. bezpieczeństwa. Skuteczność niektórych, natomiast, np. kodów wysyłanych za pomocą wiadomości SMS – zależy w dużym stopniu od kraju, w którym są stosowane. Najsłabszym ogniwem systemów autoryzacji transakcji jest zwykle ich użytkownik. Bardzo czesto, to na jego barkach spoczywa ostateczna weryfikacja prawdziwości wykonywanej transakcji.

Możliwe scenariusze ataków

Bazując na możliwościach oferowanych przez takie metody ataków jak phishing, man-in-the-middle, czy malware, przechwyciwszy potrzebne dane cyberprzestępcy mogą, np.:

  • zmodyfikować numer rachunku „zaufanego” przelewu,
  • samodzielnie przeprowadzić operację lub powtórzyć już wykonaną,
  • dowolnie modyfikować informacje wyświetlane w interfejsie bakowości, ukrywając przed użytkownikiem wykonane modyfikacje.

Najpopularniejsze metody autoryzacji

Metody autoryzacji operacji bankowych mają na celu zminimalizowanie ryzyka związanego z nieporządanymi działaniami osób trzecich. Te najczęściej wykorzystywane przez instytucje finansowe to:

  • karty „zdrapki” (TAN – Transaction Authorisation Number),
  • generator haseł jednorazowych (token),
  • podpis cyfrowy,
  • kody SMS (mTAN),
  • przeanalizowano także metodę CERBToken.

Powyższe metody różnią się od siebie stopniem skomplikowania, oraz poziomem oferowanego bezpieczeństwa [1].

Karty TAN

Część banków wciąż stosuje metody autoryzacji transakcji takie jak karty TAN (karty zdrapki z hasłami jednorazowymi). Założenie jest proste – żeby potwierdzić realizację operacji użytkownik musi użyć wskazanego, jednorazowego hasła z fizycznego nośnika. Niestety metody te nie są absolutnie dostosowane do dzisiejszych zagrożeń, gdyż hasła z karty TAN nie są w żaden sposób powiązane z operacją, którą potwierdzają.

Token sprzętowy

Teoretycznie, token jest pewniejszym rozwiązaniem niż karty zdrapki, ponieważ generowane przez niego hasła zmieniają się wraz z upływem czasu. Często wymagane jest także posłużenie się dodatkowym kodem PIN konkretnego tokena. Nadal jednak hasło wygenerowane przez token nie jest powiązane z potwierdzaną operacją. Analogicznie zresztą jak w przypadku kart TAN. Po przechwyceniu hasła, można nim potwierdzić dowolną inną operację.

Nie jest to abstrakcyjne niebezpieczeństwo. Nie chodzi bowiem o złodzieja zaglądającego przez ramię. W dzisiejszych czasach najpoważniejszym zagrożeniem dla bezpieczeństwa bankowości elektronicznej jest złośliwe oprogramowanie, działające na komputerze klienta. Jest ono w stanie podmienić, np. numer konta w wykonywanym przelewie. W ten sposób pieniądze, zamiast tam gdzie powinny, trafią np. na rachunek zasilający kartę przedpłaconą, będącą w posiadaniu tego złodzieja.

Podpis cyfrowy

Jednym z bezpieczniejszych rozwiązań, służących do autoryzacji, m.in. transakcji bankowych jest cyfrowe podpisywanie operacji. Metoda ta wymaga podłączenia do komputera lub telefonu czytnika i wsunięcie do niego odpowiedniej karty z kluczem prywatnym. Klucz ten, po podaniu kodu PIN, jest wykorzystywany do podpisania określonych danych autoryzujących konkretną transakcję.

Nie jest to jednak rozwiązanie pozbawione wad. Proces podpisu jest kontrolowany przez oprogramowanie zainstalowane na telefonie lub komputerze, złośliwe oprogramowanie może więc modyfikować ten proces. Dodatkowo, o ile karta tkwi w czytniku, istnieje ryzyko nadużycia ze strony złośliwego oprogramowania i autoryzację operacji bez fizycznego udziału i poza świadomością użytkownika.

Kod SMS

Jedną z najpopularniejszych i najbardziej bezpiecznych metod autoryzacji transakcji, stosowanych przez polskie banki to mTAN, czyli hasła wysyłane SMS-em. Kluczowe dla bezpieczeństwa nie jest jednak samo hasło, ale dane, które klient banku wraz z nim otrzymuje. Jeżeli klient sprawdzi czy dane w wiadomości zgadzają się z danymi operacji, wprowadzonymi do przeglądarki zyska pewność, że nie jest obiektem ataku, a pieniądze trafią tam, gdzie powinny. Jeżeli jednak użytkownik przepisze hasło do przeglądarki bez weryfikacji danych z SMS-a, całe zabezpieczenie staje się tylko niewygodnym dodatkiem. Niestety wciąż, niewiele osób zdaje sobie sprawę jak ważna jest weryfikacja otrzymanej wiadomości, dostarczanej wraz z hasłem do autoryzacji operacji.

SMS-y są bezpieczniejszą metodą niż karty TAN czy tokeny sprzętowe, nie są jednak bez wad. Klient musi być świadomy, że treść SMS-a z banku można podejrzeć również na etapie przechodzenia przez bramkę brokera SMS, pośredniczącego w transmisji, oraz operatora sieci GSM, w której zalogowany jest telefon – odbiorca wiadomości. Trzeba też mieć zaufanie, że jeżeli atakujący przyjdzie do operatora GSM z podrobionym dowodem tożsamości i wystąpi o duplikat karty SIM, operator GSM zweryfikuje jego tożsamość tak wnikliwie jak zrobiłby to bank. W innym przypadku SMS-y z hasłem autoryzacyjnym trafiać będą nie na aparat klienta banku, którego kartę SIM wygaszono w trakcie wydawania duplikatu, ale właśnie na „podrobiony” telefon złodzieja. Coraz powszechniejsze staje się również złośliwe oprogramowanie, które zainstalowane na telefonie użytkownika, jest w stanie przekazywać wiadomości SMS na numer atakującego.

CERBToken

Rozwiązaniem, które nie posiada wad metody SMSowej jest aplikacja mobilna CERBToken, stosująca metodę challenge-response. Aplikacja nie komunikuje się w żaden sposób z bankiem. Po wpisaniu danych do przelewu, na stronie pojawia się wygenerowany na ich podstawie dziewięciocyfrowy kod. Zadaniem użytkownika jest przepisanie go do aplikacji CERBToken, która następnie rozwija go ponownie do formy najbardziej kluczowych informacji o operacji. Dopiero, gdy klient stwierdzi, że dane są poprawne, aplikacja wygeneruje jednorazowe hasło, którym można autoryzować tylko tę konkretną operację.

Kluczowe z punktu widzenia bezpieczeństwa jest bowiem, aby metoda autoryzacji pozwalała przekazać klientowi szczegóły wykonywanej operacji innym kanałem, niż ten, przez który łączy się z bankiem (najlepiej poprzez niezależne urządzenie) i w ten sposób umożliwić mu weryfikację danych w trakcie autoryzowania operacji. Nie ma bowiem idealnej, gwarantującej bezpieczeństwo metody autoryzacji operacji bankowych. Zwyczajnie, niektóre są trudniejsze do pokonania niż inne, a najsłabszym ogniwem każdego systemu jest nieostrożny użytkownik.

Czytaj Dalej
Wciśnij aby skomentować

Skomentuj

Twój adres e-mail nie zostanie opublikowany.

Time limit is exhausted. Please reload CAPTCHA.

Firma

Faktoring a biała lista podatników VAT

Opublikowano

on

W 2019 roku została wprowadzona biała lista podatników VAT. Jej celem jest ułatwienie weryfikacji kontrahentów pod względem aktualności ich danych. Jednak przedsiębiorstwa, które chciałaby korzystać z faktoringu, często mają w związku z nią wiele wątpliwości. Czym dokładnie jest biała lista podatników VAT i jak wpływa na faktoring? Podpowiadamy.

Czym jest biała lista podatków VAT?

Biała lista podatników VAT została wprowadzona 1 września 2019 roku. Jest to wykaz, który dostępny jest na stronie internetowej Ministerstwa Finansów, a także CIDG. Jej celem jest uszczelnienie systemu podatkowego VAT, a także zlikwidowanie oszustw podatkowych. Każda firma przed dokonaniem jakiejkolwiek płatności zobowiązana jest do sprawdzenia, czy jej kontrahent jest czynnym podatnikiem VAT.

Na liście tej można znaleźć numer rachunku firmowego podatnika, a także inne dane dotyczące przedsiębiorstwa, takie jak nazwa firmy, NIP, REGON, KRS, adres siedziby, dane wspólników i osób wchodzących w skład zarządu spółki, daty rejestracji, wykreślenia i przywrócenia do rejestru i wiele innych. Zgodnie z ustawą przedsiębiorstwo jest zobowiązane do uiszczenia płatności wyłącznie na rachunek kontrahenta, który widnieje w tym rejestrze.

Faktoring a biała lista

Faktoring a biała lista – wiele osób zadaje sobie pytanie, co trzeba w tej kwestii wiedzieć. W przypadku faktoringu jawnego i odwrotnego biała lista podatników VAT nie wpłynęła w znaczący sposób na realizację tej usługi. Jednak przedsiębiorcy zobowiązani są do weryfikacji rachunków, na które przelewają środki. W przypadku stałej współpracy z danym kontrahentem nie można umieścić jego numeru w systemie księgowym, tylko przed każdym dokonaniem płatności, należy go ponownie zweryfikować.

W przypadku faktoringu jawnego firma przelewa środki finansowe na rachunek kontrahenta, który widnieje na białej liście podatników. Klient przedsiębiorstwa faktoringowego nie musi jednak sprawdzać jego numeru, ponieważ dokonuje on zapłaty na rachunek firmy faktoringowej i to ona musi zweryfikować na białej liście numer, na który zostaną przelane środki.

Istotne zmiany zaszły natomiast w przypadku faktoringu cichego. Jego istota polega na tym, że płatnik nie jest informowany o tym, że płatności są objęte faktoringiem. Po wprowadzeniu białej listy udzielenie faktoringu niejawnego na podstawie rachunku cesyjnego nie jest już możliwe. Z tego powodu funkcjonuje ono na innych zasadach. Między firmą faktoringową, a faktorantem zachodzą więc ustalenia zgodnie z którymi zobowiązuje się on do spłaty zobowiązania na numer rachunku faktora, zaraz po otrzymaniu płatności od swojego kontrahenta.

Czytaj Dalej

Firma

Nadanie paczki: e-commerce i usługi indywidualne

Opublikowano

on

przesylki

przesylkiBranża e-commerce w ostatnich latach rozwija się bardzo szybko. Ogromny wpływ miała na to pandemia koronawirusa, która sprawiła, że konsumenci zaczęli zamawiać coraz więcej rzeczy online. Wśród aspektów, na które klienci zwracają uwagę, wybierając sklep internetowy, są m.in. oferowane metody dostawy. Dla konsumenta ważne jest, by paczka dotarła do niego przede szybko, a jej wysyłka nie kosztowała zbyt wiele. W artykule wyjaśniamy, jak zorganizować wysyłkę w sklepie internetowym. (więcej…)

Czytaj Dalej

Firma

Handel elektroniczny – jak zacząć?

Opublikowano

on

zamowienia

Dostępność globalnej sieci ułatwia i pozwala na działanie przedsiębiorstw różnej wielkości, wprowadzając ich działalność na zupełnie nowy poziom pracy z klientem. Handel elektroniczny stał się w pełni konkurencyjny dla sprzedaży stacjonarnej zarówno z perspektywy klienta, jak i przedsiębiorcy. Rozpoczęcie sprzedaży internetowej to całkiem prosty proces, który może okazać się problematyczny dopiero jakiś czas od startu, kiedy działalność trzeba utrzymać na rynku przy stosunkowo stabilnych przychodach, ciągłym rozwoju i poszerzającej się bazie klientów. (więcej…)

Czytaj Dalej
Reklama

Trending

Copyright © 2017 Zox News Theme. Theme by MVP Themes, powered by WordPress.