Na sedežu podjetja Hermes Softlab je danes potekal seminar o varnostnih grožnjah spletnega bančništva, z rdečo nitjo »Kdo se boji črnega moža?«. Že v uvodnem nagovoru so povedali bistvo. Spletni kriminalci so »brihtni« ljudje, morda pametnejši od vseh nas in zato, ko se odločijo napasti neko banko, pri tem velikokrat tudi uspejo. Nekaj so povedali tudi o metodah napada na spletni bančni račun, pri čemer me skrbi ugotovitev, da najbolj sofisticiranih napadov pri nas še niso zaznali. Ne mislim, da zato, ker smo za kriminalce nezanimivi, skrbi me, da je razlog v dejstvu, da so učinkovite tudi starejše metode, tudi take, ki v »razvitem« svetu niso več učinkovite
Napotek bankam je, da morajo varnostno politiko graditi na predpostavki, da računalniško okolje uporabnika ni popolnoma varno. Temu sledi tudi zakonodaja, v katero so pred kratkim vključili direktivo EU, prej je bil to le napotek, po kateri smo uporabniki bolj varovani in krivi le v primerih, ko do vdora pride zaradi naše »hude« malomarnosti ali zaradi dejstva, da smo sami poskušali zlorabiti banko. Na primer: dogovorimo se s kriminalcem in mu damo vse podatke, ki jih potrebuje za krajo denarja, ki nam ga potem banka povrne, kriminalce pa nam del ukradenega denarja vrne. Seveda pa je to težko dokazati, v korist uporabnika pa je, da mora hudo malomarnost ali zlorabo dokazati banka in ne obratno!
O nevarnostih, ki na nas prežijo na spletu, sem nekaj napisal v članku za aktualno številko revije in kot se je izkazalo, so bile moje glavne ugotovitve pravilne. Slovenija ni več imuna pred vdori v spletne banke, uporabniki nimamo dovolj znanja in sredstev, da bi sami lahko poskrbeli za lastno varnost, najnovejše metode pa so tako dodelane, da do zlorab prihaja sočasno z uporabo spletne storitve. In tako pametne, da sledi spretno zakrivajo, da ne vidimo, do česa prihaja. Uporabnik na zaslonu vidi tisto, kar misli, da dela, trojanski konj v ozadju, pa po potrditvi banki pošlje čisto drugačne podatke o transakciji. S tem se bo treba sprijazniti in storitve spletnega bančništva uporabljati z veliko mero previdnost. Najlažje se varujemo tako, da preprečimo okužbo računalnika s škodljivo kodo!
Sorodni prispevki:
Pogled v prihodnost (2.del) »Dušimo se v poplavi informacij! In vprašanje ni, kako jih dodati še več, temveč kako te, ki jih imamo, narediti kredibilne?«
Prva zapoved, ki so jo poudarjali povabljeni oblikovalci spletnih strani ...
SKB – NJET? Sodobne bančne poti, pod katere lahko poleg spletnega bančništva štejemo tudi bančne avtomate, naj bi nam olajšali vsakdanje upravljanje z denarjem - no načeloma nam tudi jih. Tako z uporabo ...- Bedaste ankete! Anketa objavljena v zadnji oddaji »Vroči stol« je bedasta, neumna, ne odraža mišljenja javnosti in si jo avtor oddaje ne bi smel privoščiti. A na žalost ni edini. Namen večine ...
- Zahtevajte nižji račun Če greste v trgovino in vam prodajalec »ponudi« izdelek z napako, ga zavrnete ali pa zahtevate nižjo ceno. Večina pa se ne obnaša tako v primeru, ko storitev, na katero ...
- n(I) pr(O)gramov Direktor podjetja Planet 9, za katerega celo šefica odnosov z javnostmi podjetja Telekom Slovenije bolj v šali kot zares pravi, da še sami ne vedo, kaj vse imajo v skupini, ...
Zadnjih prispevki avtorja: Marjan Kodelja
- Protesti z napako - February 6th, 2012
- Spletne televizija z napako - January 19th, 2012
- Kaj pa ljudje? - October 21st, 2011
- Ar.drone za prave geeke - September 23rd, 2011
- Namišljeni intervju - June 3rd, 2011
kaj pa je bolj varno; je to generator gesel ali certifikat? kako je s certifikati na karticah/key-jih… je to varno?
Tisto, kar poznamo pri nas, bi lahko glede varnosti razvrstili na sledeč način. Najbolj varni so generatorji enkratnega gesla, sledi digitalno potrdilo na pametni kartici in šele nato potrdilo na disku. Slednje je najbolj problematično, saj zanj "skrbi" operacijski sisitem. Vemo pa, kako varni so operacijski sisitemi! Na določene napade, še posebaj tako imenovan napad MITB (men in the brawser), pa so vsi lahko neučinkoviti, v kolikor storitev e-bančništva nima dodatnih mehanizmov, ki bi preverjali ali je tisto, kar vidimo na zaslonu res tudi to, kar se pošlje banke. Teh napadov pri nas še niso zasledili.
To ni čisto točno. Najbolj varna so digitalna potrdila na pametni kartici.
Sama digitalna potrdila so v teoriji bolj varna od generatorjev gesel (ker omogočajo medsebojno avtentikacijo) v praksi bi pa rekel, da so enakovredna, ker imajo različne prednosti/pomankljivosti. Naprimer: digitalno potrdilo je varno dokler ti ga ne ukradejo (kar je lažje, ker ti to naredijo z računalnika) medtem ko so generatorji gesel močno občutljivi na man-in-the-middle in phishing napade.