|
Агенция към Европейския съюз, създадена за целите на подобряването на информационната и мрежова сигурност предлага един съвсем нов подход, който банките да спазват, за да осигурят надеждни канали за онлайн банкиране на своите клиенти: "Възприемайте всички компютри, като заразени."
Необичайният съвет от страна на Европейската агенция за мрежова и информационна сигурност (European Network and Information Security Agency, ENISA) идва в отговор на публикуваният наскоро доклад “High Roller” ( http://www.mcafee.com/us/resources/...high-roller.pdf ), издаден от McAfee и Guardian Analytics разглеждащ сложните, автоматизирани методи, имащи за мишена добре балансирани банкови сметки.
Въпросният доклад разглежда начина по който измамници използват различни модификации на троянските програми ZeuS и SpyEye, за да изградят автоматизирани, базирани на облачните технологии системи, които са способни да компрометират многопластови стратегии за сигурност, в това число хардуерни предпазни механизми, еднократно използвани кодове за транзакция и дори четци на смарткарти.
Тези механизми могат да бъдат проектирани така че да трансферират суми към специално изготвени системи, познати като "финансови мулета", или предплатени сметки веднага щом жертвата се логне в акаунта си.
"Много онлайн банкови системи работят на основата на схващането, че компютрите на техните клиенти не са заразени", започват доклада си от ENISA.. "Вземайки предвид моментното състояние в което се намира сигурността на компютърните системи в глобален мащаб, това схващане е погрешно. Вместо това, банките трябва да възприемат системите на своите клиенти за инфектирани, и да предприемат степки към защитата на своите клиенти от атаки на престъпници и измамници."
От ENISA заявяват, че: "Базисната двуфакторна верификация не е панацея срещу атаките от типа man-in-the-middle или man-in-the-browser. В този смисъл е от съществена важност да бъде осъществена обратна връзка с клиента, за да се установи стойността и дестинацията на някои транзакции посредством сигурен канал, осъществяван по сигурно устройство (изпращане на SMS, телефонно обаждане, самостоятелен четец на смарткарти с дисплей).
Дори и смартфон може да използвате, стига той да покрива стандартите за сигурност."
Много банки и финансови институции, когато съветват клиентите си по отношение на онлайн сигурността се ограничават до това, хората да използват обновен антивирусен софтуер и защитна стена. Но достатъчно ли е това?
Това, което не се споменава почти никога е, че този съвет не върши работа, ако клиентската система е вече компрометирана от мощен банков троянски кон, като ZeuS или SpyEye. Графика, осигурена от ENISA сочи, че едва 38% от модификациите на ZeuS са засичани от антивирусните програми.
Хората е нужно да знаят, че антивирусният софтуер не е непробиваема бронежилетка. И тук няма изключения.
Brian Krebs, авторът на тази статия (създател на престижният блог, занимаващ се с въпросите на сигурността CrebsOnSecurity), предлага един интересен начин (и надежден, разбира се) на хората, които банкират онлайн: да използват LiveCd-та за тази цел, като например, той посочва, че се възползва от лайв-версия на Puppy Linux.
Главната причина? Това, че, доколкото Браян е запознат, всичкият зловреден софтуер с цел атака над банкови институции, транзакции и системи е написан за компютри базирани на OS Windows, и все пак: това не означава, че не съществува зловреден софтуер с цел компрометирането на банкови операции написан за други операционни системи.
Повече на:
http://www.enisa.europa.eu/media/pr...l-security-gaps |
