Karty TAN – odzyskiwanie danych z dysku

Karty TAN – odzyskiwanie danych z dysku

Karty TAN – odzyskiwanie danych z dysku

Część banków wciąż stosuje metody autoryzacji transakcji takie jak karty TAN (karty zdrapki z hasłami jednorazowymi). Założenie jest proste – aby potwierdzić realizację operacji użytkownik musi użyć wskazanego jednorazowego hasła z fizycznego nośnika. Niestety metody te nie są absolutnie dostosowane do dzisiejszych zagrożeń, gdyż hasła z karty TAN nie są w żaden sposób powiązane z operacją, którą potwierdzają.

Token sprzętowy odzyskiwanie danych

Teoretycznie token jest pewniejszym rozwiązaniem niż karty-zdrapki, ponieważ generowane przez niego hasła zmieniają się wraz z upływem czasu. Często wymagane jest także posłużenie się dodatkowym kodem PIN konkretnego tokena. Nadal jednak hasło wygenerowane przez token nie jest powiązane z potwierdzaną operacją (analogicznie zresztą jak w przypadku kart TAN). Po przechwyceniu hasła można nim potwierdzić dowolną inną operację. Nie jest to abstrakcyjne niebezpieczeństwo. Nie chodzi bowiem o złodzieja zaglądającego przez ramię. W dzisiejszych czasach najpoważniejszym zagrożeniem dla bezpieczeństwa bankowości elektronicznej jest złośliwe oprogramowanie działające na komputerze klienta. Jest ono w stanie podmienić np. numer konta w wykonywanym przelewie. W ten sposób pieniądze trafią np. na rachunek zasilający kartę przedpłaconą, będącą w posiadaniu złodzieja.

Podpis cyfrowy

Jednym z bezpieczniejszych rozwiązań służących do autoryzacji m.in. transakcji bankowych jest cyfrowe podpisywanie operacji. Metoda ta wymaga podłączenia do komputera lub telefonu czytnika i wsunięcie do niego odpowiedniej karty z kluczem prywatnym. Klucz ten po podaniu kodu PIN jest wykorzystywany do podpisania określonych danych autoryzujących konkretną transakcję. Nie jest to jednak rozwiązanie pozbawione wad. Proces podpisu jest kontrolowany przez oprogramowanie zainstalowane na telefonie lub komputerze, złośliwe oprogramowanie może więc modyfikować ten proces. Dodatkowo, o ile karta tkwi w czytniku, istnieje ryzyko nadużycia ze strony złośliwego oprogramowania i autoryzację operacji bez fizycznego udziału i świadomości użytkownika.

Kod SMS

Jedną z najpopularniejszych i najbardziej bezpiecznych metod autoryzacji transakcji stosowanych przez polskie banki to mTAN, czyli hasła wysyłane SMS-em. Kluczowe dla bezpieczeństwa nie jest jednak samo hasło, ale dane, które klient banku wraz z nim otrzymuje. Jeżeli klient sprawdzi, czy dane w wiadomości zgadzają się z danymi operacji wprowadzonymi do przeglądarki, zyska pewność, że nie jest obiektem ataku, a pieniądze trafią tam, gdzie powinny. Jeżeli jednak użytkownik przepisze hasło do przeglądarki bez weryfikacji danych z SMS-a, całe zabezpieczenie staje się tylko niewygodnym dodatkiem. Niestety wciąż niewiele osób zdaje sobie sprawę, jak ważna jest weryfikacja otrzymanej wiadomości, dostarczanej wraz z hasłem do autoryzacji operacji. SMS-y są bezpieczniejszą metodą niż karty TAN czy tokeny sprzętowe, nie są jednak bez wad. Klient musi być świadomy, że treść SMS-a z banku można podejrzeć również na etapie przechodzenia przez bramkę brokera SMS pośredniczącego w transmisji oraz operatora sieci GSM, w której za logowany jest telefon – odbiorca wiadomości. Ważne jest również zaufanie: jeżeli atakujący przyjdzie do operatora GSM z fałszywym dowodem tożsamości i wystąpi o duplikat karty SIM, operator GSM zweryfikuje jego tożsamość tak wnikliwie, jak zrobiłby to bank. W innym przypadku SMS-y z hasłem autoryzacyjnym trafiać będą nie na aparat klienta banku, którego kartę SIM wygaszono w trakcie wydawania duplikatu, ale właśnie na fałszywy numer telefonu złodzieja. Coraz powszechniejsze staje się również złośliwe oprogramowanie, które po zainstalowaniu na telefonie użytkownika jest w stanie przekazywać wiadomości SMS na numer atakującego.

CERBToken

Istnieją także rozwiązania pozbawione wad metody SMS-owej,np. aplikacja mobilna CERBToken stosująca metodę challenge-response. Aplikacja nie komunikuje się w żaden sposób z bankiem. Po wpisaniu danych do przelewu na stronie pojawia się wygenerowany na ich podstawie dziewięciocyfrowy kod. Zadaniem użytkownika jest przepisanie go do aplikacji CERBToken, która następnie rozwija go ponownie do formy najbardziej kluczowych informacji o operacji. Dopiero gdy klient stwierdzi, że dane są poprawne, aplikacja wygeneruje jednorazowe hasło, którym można autoryzować tylko tę konkretną operację. Kluczowe z punktu widzenia bezpieczeństwa jest, aby metoda autoryzacji pozwalała przekazać klientowi szczegóły wykonywanej operacji innym kanałem niż ten, przez który łączy się z bankiem (najlepiej poprzez niezależne urządzenie), i w ten sposób umożliwić mu weryfikację danych w trakcie autoryzowania operacji. Nie ma bowiem idealnej, bezobsługowej i gwarantującej bezpieczeństwo metody autoryzacji operacji bankowych. Są tylko takie, w których użytkownik ma szansę nie popełnić błędu, i takie, które mu takiej szansy niestety nie dają. CERBToken, a w dużym stopniu także mTAN, zapewnia taką możliwość. Inwestując odrobinę rzetelności, użytkownik może się czuć bezpieczny. W przypadku TANów, tokenów sprzętowych czy kart PKI nawet najbardziej skrupulatny użytkownik może zostać oszukany, ponieważ metody te nie dają możliwości sprawdzenia, czy wykonywana operacja nie została zmodyfikowana przez złośliwe oprogramowanie.

Dodaj komentarz