Το e-banking μπορεί να αποκτά ολοένα και μεγαλύτερη απήχηση και στη χώρα μας, όμως η ισχυρή αυθεντικοποίηση μέσα από τις νέες μεθόδους και τεχνικές, είναι αυτή που σίγουρα θα δώσει ακόμα μεγαλύτερη ώθηση και θα εμφυσήσει αίσθημα ασφάλειας στους χρήστες.

Τα τελευταία έξι χρόνια η χρήση του e-banking στην Ελλάδα έχει προκαλέσει ραγδαίες και ταχύτατες εξελίξεις τόσο στις καθημερινές συναλλαγές χρηστών και εταιρειών, όσο και στη διεύρυνση του ηλεκτρονικού εμπορίου. Όπως στις περισσότερες περιπτώσεις ραγδαίας ανάπτυξης, έτσι και εδώ οι εξελίξεις και η πρόοδος ανέδειξαν σε δεύτερο επίπεδο το “πρόβλημα” της ασφάλειας.

Είναι το e-banking ασφαλές; Είναι ο τωρινός τρόπος αυθεντικοποίησης ασφαλής και δεν πρέπει να ανησυχούμε πια; Πώς και με ποιον τρόπο τα σημερινά συστήματα αυθεντικοποίησης μας εξασφαλίζουν; Αυτά τα ερωτήματα αλλά και οι ανασφάλειες, οδηγούν τον καθημερινό χρηστή στην αμφισβήτηση – και σε πολλές περιπτώσεις στην απόρριψη αυτής της χρησιμότατης κατά τα άλλα υπηρεσίας.
Φυσικά, το θέμα της ασφάλειας γενικότερα, γίνεται πολύπλοκο όταν πρόκειται για μια υπηρεσία όπου χιλιάδες χρήστες θα πρέπει να χρησιμοποιήσουν σε καθημερινή βάση. Ένα σύστημα ασφάλειας που είναι δαιδαλώδες και δύσχρηστο, είναι τελικά αποτρεπτικό στη χρήση του, με αποτέλεσμα να απομακρύνει τους καταναλωτές. Σύμφωνα με την Gartner, περίπου $2 δις χάνονται ετησίως από τις επιχειρήσεις ανά τον κόσμο, επειδή οι καταναλωτές ανησυχούν για την online ασφάλεια. Αντίθετα, ένα σύστημα ασφάλειας εύκολο στην καθημερινή χρήση και λειτουργικό, θα μειώσει τον κίνδυνο και θα αυξήσει το αίσθημα της ασφάλειας στους χρηστές, με αποτέλεσμα την περαιτέρω ανάπτυξη της ηλεκτρονικής τραπεζικής, αλλά και των εφαπτόμενων υπηρεσιών. Τι χρειάζεται λοιπόν η ηλεκτρονική τραπεζική προκειμένου να παρέχει με ασφάλεια τις υπηρεσίες της;

Η απαίτηση για ισχυρή αυθεντικοποίηση και οι διαθέσιμες λύσεις
Μία από τις βασικές απαιτήσεις της ασφάλειας (Ιδιωτικότητα, Εμπιστευτικότητα, Ακεραιότητα, Αυθεντικοποίηση) αποτελεί και η ισχυρή αυθεντικοποίηση των χρηστών. Ως αυθεντικοποίηση θεωρείται η διαδικασία πιστοποίησης και επιβεβαίωσης της ταυτότητας των χρηστών, η οποία σε κάθε περίπτωση βασίζεται στα διαπιστευτήρια που κατέχει ο χρήστης. Συγκεκριμένα, κατά τη διαδικασία αυθεντικοποίησης αναγνωρίζεται και επιβεβαιώνεται η ορθότητα της ταυτότητας ενός χρήστη ή κάποιων χαρακτηριστικών της. Οι περισσότερες Τράπεζες αντιλήφτηκαν με το πέρασμα των ετών, αλλά και με σειρά κρουσμάτων ασφάλειας, ότι ένας απλός κωδικός πρόσβασης ως αποδεικτικό μέσο αυθεντικοποίησης δεν είναι αρκετός ώστε να αποφευχθούν περιστατικά υποκλοπής. Για την επίλυση της αδυναμίας αυτής, τα τελευταία χρόνια έχουν θέσει σε εφαρμογή κωδικούς μιας χρήσης (ΟΤP) με τη χρησιμοποίηση παράλληλα και του προσωπικού κωδικού εισόδου. Με αυτόν τον τρόπο υλοποιούν τον ορισμό της διπλής αυθεντικοποίησης (κάτι που γνωρίζω & κάτι που κατέχω) που προσδίδει μεγαλύτερη ασφάλεια, μιας και πέρα από τον κωδικό που γνωρίζει ο χρήστης, θα πρέπει να προσκομίσει και ένα μοναδικό κωδικό, χρησιμοποιώντας τη συσκευή παραγωγής (token) μοναδικών αριθμών, δηλαδή κάτι που έχει στην κατοχή του. Αυτή η μοναδική συσκευή ανά χρήστη παράγει συνεχώς μοναδικούς αριθμούς, οι όποιοι διαρκούν ελάχιστα δευτερόλεπτα και τους οποίους το κεντρικό σύστημα αυθεντικοποίησης καλείται να εγκρίνει ή να απορρίψει κατά την είσοδο του χρήστη στο λογαριασμό του. Για κάθε μοναδική συσκευή, το κεντρικό σύστημα είναι υπεύθυνο να γνωρίζει το μοναδικό αριθμό που θα παράγει την οποιαδήποτε στιγμή, χρησιμοποιώντας τον ίδιο αλγόριθμο που χρησιμοποιεί και η συσκευή για να επιβεβαιωθεί ο σωστός κωδικός. Φυσικά, είναι δυνατόν οι συσκευές (token) αυτές να αποσυγχρονιστούν με το κεντρικό σύστημα και θα πρέπει να επαναληφθεί η διαδικασία συγχρονισμού, η οποία έγινε την πρώτη φορά που ενεργοποιήθηκε η συσκευή.
Επίσης, κάποιες Τράπεζες έχουν υλοποιήσει λύσεις αυθεντικοποίησης, χρησιμοποιώντας την Υποδομή Δημόσιου Κλειδιού (Public Key Infrastructure), έχοντας εκδώσει στους χρήστες τους ψηφιακά πιστοποιητικά digital certificates από την Αρχή Πιστοποίησης της Τράπεζας (Cetrificate Authority). Ο χρήστης θα πρέπει να “προσκομίσει” στην ιστοσελίδα εισόδου κάτι που γνωρίζει και που είναι ο κωδικός εισόδου, αλλά και κάτι που κατέχει – και αυτό, σε αυτήν την περίπτωση είναι το μοναδικό ψηφιακό πιστοποιητικό. Και σε αυτήν την περίπτωση, ένα κεντρικό σύστημα αυθεντικοποίησης, (Issuing Certificate Server) θα πρέπει να επιβεβαιώσει ότι το μοναδικό ψηφιακό πιστοποιητικό είναι έγκυρο και δεν έχει ανακληθεί ή λήξει και ότι έχει εκδοθεί /υπογραφεί από την Αρχή Πιστοποίησης της Τράπεζας, υλοποιώντας έτσι τις αρχές και τεχνικές της ασύμμετρης κρυπτογραφίας. Το ψηφιακό πιστοποιητικό που εκδίδεται σε κάθε χρήστη και έχει ημερομηνία λήξης, αποτελείται από το δημόσιο και ιδιωτικό κλειδί κρυπτογράφησης. Το ιδιωτικό κλειδί είναι αυτό που ο χρήστης χρησιμοποιεί για να αυθεντικοποιηθεί και να επιβεβαιώσει την ταυτότητά του. Αντίστοιχα, το κεντρικό σύστημα από την πλευρά του επαληθεύει την ταυτότητα του χρήστη, χρησιμοποιώντας το δημόσιο κλειδί του που έχει καταχωρημένο στη βάση του όταν εκδόθηκε για πρώτη φορά. Όπως μπορούμε να καταλάβουμε λοιπόν, η ασφαλής φύλαξη του ιδιωτικού κλειδιού είναι απαραίτητη. Στις περισσότερες περιπτώσεις αυτό το κλειδί προστατεύεται από κάποιον επιπλέον κωδικό είτε είναι αποθηκευμένο στο σκληρό δίσκο του υπολογιστή του χρήστη είτε είναι αποθηκευμένο σε κάποια συσκευή αποθήκευσης (USB token, Smartcard). Μια τέτοια υποδομή θα πρέπει φυσικά να ακολουθεί τις διεθνείς βέλτιστες πρακτικές και πρότυπα – και πιο συγκεκριμένα, το διεθνές πρότυπο ETSI TS 102 042.
Φυσικά, στο προσκήνιο έχουν έρθει πλέον και οι υβριδικές λύσεις αυθεντικοποίησης, οι οποίες συνδυάζουν σε μία συσκευή USB ένα μηχανισμό παραγωγής μοναδικών κωδικών (OTP), αλλά λειτουργούν παράλληλα και ως αποθηκευτικός χώρος ψηφιακών πιστοποιητικών. Με αυτήν τη λύση μπορεί ο χρήστης, για παράδειγμα, να χρησιμοποιήσει το μοναδικό κωδικό για την εισαγωγή του στο e-banking και το ψηφιακό πιστοποιητικό για να επιβεβαιώσει μία συναλλαγή. Στο προσκήνιο των υβριδικών συσκευών εξέλιξης έχουν έρθει και οι USB αποθηκευτικές συσκευές, οι οποίες, για να επιτρέψουν τη χρησιμοποίηση του αποθηκευμένου ψηφιακού πιστοποιητικού, απαιτούν το δαχτυλικό αποτύπωμα του χρήστη.

Αξιολόγηση των λύσεων
Με βάση αυτές τις τρεις λύσεις και τους διαφορετικούς τρόπους που μπορούν να υλοποιηθούν, προσπαθήσαμε να τις βαθμολογήσουμε έτσι ώστε να έχουμε μια πιο ξεκάθαρη εικόνα στο τι μπορεί να προσφέρει η κάθε λύση. Έχοντας στο μυαλό μας ότι η ασφάλεια στην καθημερινότητα δεν αποτελείται από απόλυτες τεχνικές και θεωρίες που θα πρέπει να εφαρμόσουμε, αλλά εξαρτάται από πολλούς παράγοντες τους οποίους πρέπει να λάβουμε υπόψη, καταλήξαμε στους εξής τομείς βαθμολόγησης:

  • Το Κόστος
    • Κόστος αγοράς
    • Κόστος υλοποίησης
    • Κόστος αντικατάστασης
    • Κόστος διαχείρισης
  • Τα Πλεονεκτήματα ως προς τον πελάτη/χρήστη
    • Ευκολία στη χρήση
    • Φορητότητα
    • Πολυχρηστικότητα
  • Τα πλεονεκτήματα ως προς την Τράπεζα
    • Δυνατότητες Ασφάλειας
    • Δυνατότητα ένταξης/ενσωμάτωσης με την υπάρχουσα υποδομή
    • Δυνατότητα ανάπτυξης
    • Μελλοντική χρήση
    • Λύση σύμφωνη με το Νομοθετικό πλαίσιο.

Τα παραπάνω αποτυπώνονται στον πίνακα σύγκρισης (πίνακας 1) και στα 6 σχήματα (σχήμα 1,2,3,4,5,6).

Συγκριτική Ανάλυση

Βαθμοί αξιολόγησης (1 έως 5)
Η στήλη “Απλός Κωδικός” παρουσιάζεται για λογούς σύγκρισης

Απλός Κωδικός

OTP token

Ψηφιακά πιστοποιητικά
αποθηκευμένα στο PC

Ψηφιακά πιστοποιητικά
αποθηκευμένα σε  Smart Cards

Ψηφιακά πιστοποιητικά
αποθηκευμένα σε USB Tokens

Υβριδικά USB Tokens

Κόστος

Κόστος αγοράς

5

3

4

1

2,5

1,5

Κόστος  υλοποίησης

5

4

3

2

3

2,5

Κόστος αντικατάστασης

5

2

4

3

3

2

Κόστος διαχείρισης

3,5

4

3

2

2

2

Πλεονεκτήματα ως προς τον πελάτη/χρήστη

Ευκολία στην χρήση

2

4

5

4,5

4,5

4

Φορητότητα

5

5

1

3

4

4

Πολυχρηστικότητα

1

2

4

5

4

4

Πλεονεκτήματα ως προς την Τράπεζα

Δυνατότητες Ασφάλειας

1

3

3,5

4

4

5

Δυνατότητα ένταξης/ενσωμάτωσης με την υπάρχουσα υποδομή

2

3

4

4

4

4

Δυνατότητα ανάπτυξης

5

4

4,5

4,5

4,5

4

Λύση σύμφωνη με το Νομοθετικό πλαίσιο.

1

3

4

5

5

5

Μελλοντική χρήση

1

3

4

5

4

4

πίνακας 1

 

Με βάση λοιπόν το συγκριτικό πίνακα και τα σχήματα, μπορούμε να αντιληφθούμε ότι το κόστος είναι ένας βασικός παράγοντας, προκειμένου να θεωρηθεί μια λύση ασφάλειας, αποδεκτή. Όμως και μια λύση ασφάλειας χαμηλή στο κόστος, είναι δύσκολο να έχει δυνατότητες ασφάλειας που να καλύπτουν τους σημερινούς κινδύνους και ανασφάλειες του καταναλωτή. Σίγουρα, οι πιο ασφαλείς και ολοκληρωμένες λύσεις είναι όπως μπορούμε να δούμε στους πίνακες, οι συσκευές μοναδικού κωδικού πρόσβασης (OTP tokens), τα ψηφιακά πιστοποιητικά αποθηκευμένα σε USB Tokens, αλλά και οι υβριδικοί tokens, που παρά το υψηλό σημερινό κόστος, αποτελούν μία λύση που συνδυάζει δύο τεχνολογίες και προσδίδει μεγαλύτερη ασφάλεια.
Είναι τελικά όμως τόσο εύχρηστες αυτές οι λύσεις ισχυρής αυθεντικοποίησης ή μήπως στο μέλλον δεν θα είναι πια και ο χρήστης θα είναι αναγκασμένος να απορρίψει την ηλεκτρονική τραπεζική γιατί δεν θα αντέχει να έχει στην κατοχή του 2,3 ή και 4 tokens για κάθε υπηρεσία όπου θα ζητείται ισχυρή αυθεντικοποίηση; Οι καταναλωτές πραγματοποιούν αρκετές online συναλλαγές και συνεργάζονται με διαφορετικούς Οργανισμούς και επιχειρήσεις. Εάν ο κάθε καταναλωτής αποκτούσε μία διαφορετική συσκευή token από κάθε μία επιχείρηση με την οποία συναλλάσσεται, θα κατέληγε να έχει ένα μεγάλο αριθμό συσκευών tokens, τον οποίο θα έπρεπε να κουβαλάει παντού. Μη αποδεκτό σενάριο για οποιονδήποτε καταναλωτή, φυσικά.
Βέβαια, υπάρχουν και λύσεις υψηλότερου κόστους, όπου ίσως θα μπορούν με μία μόνο συσκευή να αυθεντικοποιήσουν το χρήστη σε όλες τις υπηρεσίες. Σε μια τέτοια λύση μπορεί να βοηθήσει και η βιομετρική τεχνολογία, όπου θα χρησιμοποιείται ως μέσο αυθεντικοποίησης ένα από τα μοναδικά βιομετρικά στοιχεία του ανθρώπινου σώματος (δακτυλικό αποτύπωμα, αναγνώριση ίριδας, αναγνώριση φωνής, μοναδικότητα της προσωπικής υπογραφής κ.λπ.).
Σημείωση: Η βιομετρική αυθεντικοποίηση μπορεί να χρησιμοποιηθεί και σαν μέσο τριπλής αυθεντικοποίησης – για παράδειγμα, ένα σύστημα μπορεί να απαιτεί μία φράση πρόσβασης, ένα ψηφιακό πιστοποιητικό και αισθητήρα δακτυλικού αποτυπώματος και με αυτόν τον τρόπο να συνδυάζει κάτι που χρήστης γνωρίζει, κάτι που κατέχει και κάτι το οποίο ο χρήστης είναι.
Ίσως μελλοντικά μία υπηρεσία ή ένας Οργανισμός να μπορεί να ενοποιήσει όλες τις υπηρεσίες, όπου θα χρειάζεται ο χρήστης να αυθεντικοποιηθεί. Για παράδειγμα, ένα ψηφιακό πιστοποιητικό ανά χρήστη, όπου θα έχει εκδώσει αυτή η ανώτερη αρχή και που ο πολίτης να μπορεί να το χρησιμοποιήσει σε διάφορες online υπηρεσίες, όπως τράπεζες αλλά και δημόσιους Οργανισμούς (εφορία, δημοτικές υπηρεσίες, ΔΕΗ, ΟΤΕ κ.λπ.) ή ακόμα και στη δυνατότητα εκλογικής ψήφου δικτυακά. Άλλωστε, η θεωρία της υποδομής του δημόσιου κλειδιού (PKI) βασίζεται και κάνει τεχνικά δυνατές τις σχέσεις εμπιστοσύνης μεταξύ διαφορετικών Οργανισμών και υποδομών.

Νέες Απειλές
Παρόλα αυτά, έχοντας υπόψη τις σημερινές τεχνολογίες και γνώμονα την ασφάλεια του καταναλωτή, σίγουρα μια υλοποίηση ισχυρής αυθεντικοποίησης καθιστά δύσκολο το έργο του υποκλοπέα. Ο υποκλοπέας θα πρέπει πέρα από τον κωδικό πρόσβασης να έχει και το μοναδικό κωδικό (ο οποίος ισχύει φυσικά για μια συγκεκριμένη χρονική περίοδο λίγων δευτερολέπτων) ή και το πιστοποιητικό του χρήστη ή στο μέλλον και το βιομετρικό στοιχείο του χρήστη που θα ζητείται. Είναι όμως αυτές οι λύσεις ικανές, ώστε να αποτρέψουν σύγχρονες τακτικές επιθέσεων όπως είναι τα phishing attacks, τα e-banking Trojans και worms, Man in the Middle attacks, social engineering κ.λπ.;
Καθημερινά, ακούμε για επιθέσεις διαφόρων τεχνικών με σκοπό την υποκλοπή των διαφόρων προσωπικών στοιχείων, όπως κωδικούς πρόσβασης στο e-banking, αριθμούς πιστωτικών καρτών κ.λπ. Πρόσφατα μάλιστα, ελληνική τράπεζα στην ιστοσελίδα εισόδου του e-banking της, είχε αναρτήσει προειδοποίηση με την οποία σύστηνε την προσοχή των χρηστών κατά την είσοδό τους, γιατί έχουν παρατηρηθεί φαινόμενα προσπάθειας υποκλοπής κωδικών με κάποιο Trojan πιθανώς, όπου παγώνει την οθόνη του υπολογιστή! Οι χρήστες της συγκεκριμένης τράπεζας χρησιμοποιούν συσκευές παραγωγής μοναδικών αριθμών (OTP). Φυσικά, η πιο ευρέως διαδεδομένη τεχνική επίθεσης είναι το phishing attack. Με αυτήν την τεχνική επιχειρείται συνήθως με την αποστολή κάποιου e-mail, το οποίο ισχυρίζεται ότι αποστέλλεται από κάποια υπαρκτή και νόμιμη τράπεζα, μία προσπάθεια να παραπλανήσει τον παραλήπτη και να του αποσπάσει απόρρητα προσωπικά στοιχεία. Στο e-mail υπάρχει κάποιο URL Link. κατευθύνοντάς τον σε κάποια ιστοσελίδα παρόμοια με της υπαρκτής εταιρείας, όπου του ζητείται η εισαγωγή των προσωπικών του κωδικών. Μέχρι πρότινος ήταν γνωστό ότι τέτοιες τεχνικές επίθεσης θα μπορούσαν να υποκλέψουν στατικούς κωδικούς. (Σημείωση: Σε μικρότερη κλίμακα υπάρχουν Phising attacks, στις οποίες δεν έχει χρησιμοποιηθεί κάποιο e-mail αλλά έχει διαμορφωθεί παράνομα το host-file του τερματικού ή ακόμα έχει παραμετροποιηθεί το DNS στο διακομιστή (DNS Poisoning attack). Με τη σημερινή εξέλιξη και την εδραίωση των μεθόδων διπλής αυθεντικοποίησης, οι “hacker” δεν θα αργήσουν να πετύχουν με την ίδια τεχνική, την υποκλοπή των μοναδικών χρονικά κωδικών. Ο χρήστης θα κατευθύνεται στο phishing site, όπου εκτός από το προσωπικό User ID και password (Βήμα 1&2), θα ζητείται και ο μοναδικός κωδικός από τη συσκευή OTP (Βήμα 4 &5). To ενδιάμεσο phishing site, χωρίς καθυστέρηση θα χρησιμοποιεί τα στοιχεία στο πραγματικό e-banking (Βήμα 2 &5) και θα εκτελεί τις παράνομες συναλλαγές. (Σχήμα 7)
Αυτή η μέθοδος ονομάζεται Real time Phishing ή αλλιώς Man in the Middle attack. Αυτή η “αδυναμία” έγκειται στο ότι ο μοναδικός κωδικός μεταφέρεται στον υποκλοπέα αυτούσιος, χωρίς να μπορεί η Τράπεζα να ελέγξει με κάποιον τρόπο αν αυτός που προσκομίζει τον κωδικό είναι ο χρήστης ή κάποιος τρίτος που έχει παρέμβει ενδιάμεσα.
Σε ανάλογη έξαρση, τα τελευταία χρόνια βρίσκονται και οι επιθέσεις με τα λεγόμενα “banking Trojans”. Πλέον, τα “banking Trojans”δεν έχουν μόνο στόχο να υποκλέψουν στατικούς κωδικούς και αριθμούς πιστωτικών καρτών (keyloggers , screen capture trojans), αλλά και να επιτεθούν δυναμικά τη στιγμή που ο χρήστης προσπαθεί να κάνει κάποια συναλλαγή στο e-banking της Τράπεζάς του (Man in the Browser). Το κακόβουλο λογισμικό εφόσον είναι εγκατεστημένο στο τερματικό του χρήστη, αχρηστεύει οποιοδήποτε μέσο διπλής αυθεντικοποίησης. Χαρακτηριστικό παράδειγμα είναι το Trojan με την ονομασία “Silent Banker” όπου κατάφερε να υποκλέψει στοιχεία από χρήστες σε 400 τράπεζες παγκοσμίως (http://www.scmagazineuk.com/New-version-of-SilentBanker-Trojan-causes-concern/article/119196/).

Επίλογος
Μέχρι τώρα, η ιστορία και η εξέλιξη σε όλους τους τομείς της πληροφορικής, μας έχει διδάξει ότι με το πέρασμα του χρόνου, τεχνολογίες που θεωρούνται ασφαλείς και πρωτοποριακές, καταλήγουν να θεωρούνται ξεπερασμένες και τελικά αναξιόπιστες. Αυτή η εξέλιξη είναι μια φυσική πορεία, αφού η ασφάλεια είναι μια ασπίδα άμυνας, η οποία καθημερινά δοκιμάζεται σε καινούριες και περισσότερες επιθέσεις. Μήπως λοιπόν και στον τομέα της ισχυρής αυθεντικοποίησης θα πρέπει να στρέψουμε τα βλέμματα σε καινούριες τεχνικές, που θα ενισχύσουν ακόμα περισσότερο τη θωράκιση του e-banking;
Κάτω από αυτόν τον προβληματισμό και την τάση για ενίσχυση της αυθεντικοποίησης της ηλεκτρονικής τραπεζικής παγκοσμίως, έχουν έρθει στο προσκήνιο τεχνικές και λύσεις “αμοιβαίας αυθεντικοποίησης” αλλά και μηχανισμοί ανάλυσης ρίσκου και συμπεριφορών χρηστών στο e-banking. Με την αμοιβαία αυθεντικοποίηση, ο χρήστης δεν επιβεβαιώνει μόνο από την πλευρά του την ταυτότητά του, χρησιμοποιώντας ισχυρούς μηχανισμούς αυθεντικοποίησης, αλλά επιβεβαιώνεται η ταυτότητα του χρήστη και από την πλευρά της Τράπεζας. Η μέχρι τώρα λογική άφηνε στα χέρια του χρήστη να επιβεβαιώσει την ταυτότητά του, κάτι που τελικά, σιγά σιγά φαίνεται να είναι ανεπαρκές. Με αυτήν την τεχνική ο χρήστης, μέσω του τερματικού που χρησιμοποιεί, μπορεί να ελεγχθεί για τη γεωγραφική του θέση αλλά και την IP διεύθυνση, μειώνοντας έτσι τον κίνδυνο να έχουν υποκλαπεί τα στοιχεία του χρήστη και να χρησιμοποιούνται από κάποιον ενδιάμεσο τερματικό σταθμό (MIM attacks). Δημιουργούνται λοιπόν γεωγραφικές ζώνες υψηλού ρίσκου, αλλά και δυναμικές μαύρες λίστες από επικίνδυνες ανά τον κόσμο IP διευθύνσεις. Επίσης είναι δυνατή η ανάλυση του τερματικού του χρήστη, ώστε να επιβεβαιωθεί αν το τερματικό είναι αυτό με το οποίο ο χρήστης συνηθίζει να χρησιμοποιεί για το e-banking. Αυτή η ανάλυση (device fingerprint) συγκρίνεται με την αρχική ανάλυση που είχε κάνει ο χρήστης κατά την εγγραφή του στο e-banking και μπορεί να καταγράψει, για παράδειγμα, την ανάλυση της οθόνης, τη γλώσσα του λειτουργικού συστήματος, τα προγράμματα που είναι εγκατεστημένα κ.λπ. Αν για κάποιο λόγο ο χρήστης δεν χρησιμοποιήσει το τερματικό που συνηθίζει, τότε επέρχονται μια σειρά από ερωτήσεις για να απαντήσει, αλλά και εικόνες για να επιλέξει ο χρήστης, που θα αποδείξουν την ταυτότητά του. Ένα βήμα παραπάνω σε αυτήν την τεχνική έρχεται να προσδώσει και η ανάλυση συμπεριφοράς του χρήστη και των καθημερινών συναλλαγών του (transaction analysis). Με αυτήν τη λύση, ο κάθε χρήστης με τις καθημερινές συναλλαγές του μέσα στον e-banking λογαριασμό του, δημιουργεί ένα προφίλ συμπεριφοράς, το οποίο συμβάλλει ώστε να προληφθούν ύποπτες και παράνομες συναλλαγές.
Τελικά, ίσως όλες οι Τράπεζες οδηγηθούν σε λύσεις όπως αυτές που αναφέρθηκαν παραπάνω, ώστε να αυξήσουν και το αίσθημα τις ασφάλειας των καταναλωτών, που με τα καθημερινά κρούσματα υποκλοπής δεδομένων, δεν εμπιστεύονται εύκολα τη χρήση του e-banking. Είμαι βέβαιος ότι με την εισαγωγή έξυπνων μηχανισμών αναγνώρισης της απάτης ή της υποκλοπής, θα μειωθούν τα κρούσματα και η χρήση της ηλεκτρονικής τραπεζικής θα εδραιωθεί σε όλες τις κατηγορίες χρηστών. Αυτό φυσικά, μέχρι να ανακαλυφθούν νέα κρούσματα επιθέσεων, που θα πρέπει να αντιμετωπισθούν και να καταλάβουμε επιτέλους ότι η ασφάλεια δεν ολοκληρώνεται με μία πάγια λύση, εφόσον οι κακόβουλοι χρήστες δεν παραμένουν σε πάγιες τεχνικές επίθεσης!

Δημήτρης Δοριζας
Security Architect
MSc InfoSec