Zpět na seznam článků     Číst komentáře (7)     Verze pro tisk

Internetové bankovnictví a boj s "Frodem"

Autor: Mirek   
1.11.2009

Používáte internetové bankovnictví? Jak se do něj přihlašujete? Jak potvrzujete aktivní operace? Zadáváním jednorázového hesla? A co kdyby vám vaše banka tvrdila, že jméno a heslo pro přihlášení do jejího internetového bankovnictví je dostačující, protože používá systém pro detekci podvodů a že díky tomuto systému spolehlivě pozná, zda jste to opravdu vy, kdo chce danou operaci provést. Vyžadovali byste i v takovém případě, aby bylo pro autorizaci platby použito jednorázové heslo nebo nějaký další faktor? Nebo budete vaší bance věřit, že vaše přihlašovací údaje nemohou být nikým jiným díky nasazení systému na detekci podvodů zneužity?


V jednom svém příspěvku jsem psal o tom, proč by měl nést každý uživatel odpovědnost za vhodné zabezpečení svého počítače. Nutno podotknout, že i společnosti, které informační systémy provozují, by měly učinit vše proto, aby jejich systémy byly zabezpečené a včas odhalily i pokusy o překonání bezpečnostních opatření.

V poslední době se objevuje snaha přesunout odpovědnost ze strany klienta na stranu společnosti, která poskytuje danou službu. Patrná je v tomto směru například iniciativa PCI SSC a jejich PCI DSS, jejímž cílem je zamezit karetním podvodům a to zavedením vhodných bezpečnostních opatření u společností, které data držitele karty zpracovávají, přenášejí nebo uchovávají.

Fraud Management System

Dalším řešením v oblasti prevence a odhalování podvodů je nasazení řešení, které se nazývá Fraud Management System někdy také Fraud Detection System nebo Fraud Prevention System (dále jen FMS). Jádrem těchto systémů je tzv. Fraud Detection Engine, který je schopen na základě informací o klientech a jejich transakcích, které jsou uloženy v databázi a vytvořených pravidel, rozhodnout o podezřelosti dané transakce a tzv. ji oskórovat. V rámci této operace jí je přiděleno nějaké číslo z daného intervalu a na základě dosaženého skóre se rozhoduje o tom, jak s danou transakcí naložit.

FMS v bankách a pojišťovnách

FMS není nic nového, finanční instituce, především banky a pojišťovny tyto systémy používají s úspěchem již po mnoho let. Banky ho používají např. k odhalování praní špinavých peněz, což je po nich vyžadováno legislativou a pojišťovny zase k odhalování pojistných podvodů a je to v celku logické, protože v případě takového pojistného podvodu by tratila pojišťovna, nikoliv klient.

FMS v internetovém bankovnictví

Nabízí se otázka, zda nenasadit FMS i v oblasti internetového bankovnictví. Může takový systém uspět i v této oblasti? Pro zodpovězení této otázky se musíme hlouběji zamyslet nad tím, jak takový systém funguje. Základem úspěchu je vytvoření tzv. behaviorálního profilu klienta. Ten se obvykle sestavuje, jak již ostatně název sám napovídá, na základě sledování chování klienta po určitou, předem danou dobu, po kterou se sbírají a vyhodnocují zpravidla informace tohoto typu:

+ doba provedení transakce
+ typ transakce
+ číslo účtu příjemce
+ důvěryhodnost finanční instituce příjemce
+ výše částky
+ IP adresa klienta
+ přenosová rychlost
+ použitý operační systém
+ typ a verze prohlížeče
+ jazyková verze

Adaptivní autentizace

Na základě těchto informací se pak systém rozhoduje o tom, zda požadovat dodatečné potvrzení transakce, o kterém se hovoří jako o autorizaci transakce, která spočívá v prokázání nějaké znalosti např. sdělení správné odpovědi na kontrolní otázku, zadání kódu, který klientovi přišel jako SMS zpráva na mobilní telefon, jehož číslo uvedl při uzavření smlouvy nebo registraci. Případně může být klient i telefonicky kontaktován nebo se transakce nemusí vůbec uskutečnit. FMS může být nasazen jako produkt (obvykle se jedná o HW a SW řešení) a provozován v datovém centru dané společnosti nebo může být poskytován kompletně jako služba (SaaS).

Problémy FMS

Problémů, se kterými se musí takový FMS vypořádat, je spousta, neboť více různých klientů může vystupovat pod stejnou IP adresou nebo naopak jeden klient může mít při každém přihlášení jinou IP adresu. Stejně tak se může poměrně často měnit verze prohlížeče, neboť vše závisí jen na tom, jak často výrobce prohlížeče uvolňuje nové verze a jak často uživatel aktualizuje svůj systém. Pokud uživatel používá notebook, lze předpokládat, že cestuje a často i po světě a tudíž se může měnit jak jeho IP adresa a přenosová rychlost tak i čas provedení dané transakce. (Záleží samozřejmě na tom, jak a odkud se do internetu připojuje). Samotným oříškem je i doba, za kterou byl behaviorální profil klienta vytvořen. Lze předpokládat, že klient se např. v době před vánocemi, svátky a při nejrůznějších životně významných událostech bude chovat přeci jen trochu jinak než po většinu roku (z pohledu FMS nestandardně). V takovém případě je důležité sledovat hodnoty tzv. false negative a false positive. V zásadě nohou nastat čtyři stavy:

+ jednalo se o podvod a jako podvod byla daná transakce označena a neproběhla
+ nejednalo se o podvod a jako podvod nebyla daná transakce označena a proběhla
- jednalo se o podvod, ale jako podvod nebyla daná transakce označena a proběhla
- nejednalo se o podvod, ale jako podvod byla daná transakce označena a neproběhla

Vidíme, že zatímco v prvních dvou případech zareagoval FMS správně, tak v následujících dvou případech zareagoval špatně. Cílem všech FMS je samozřejmě dosáhnout co nejnižších hodnot false negative (transakce byla vyhodnocena jako podvod, ač se o podvod nejednalo) a false positive (transakce nebyla vyhodnocena jako podvod, ač se o podvod jednalo). Všimněte si, že píši, že FMS se snaží dosáhnout co nejnižších hodnot. Jinými slovy 100% spolehlivost tyto systémy zdaleka nedosahují. Dále u těchto systémů platí, že snahou zlepšit jednu hodnotu, se obvykle zhoršuje ta druhá. To znamená, že čím méně transakcí bude chybně označeno jako podvod, tím více transakcí podvodných transakcí systém akceptuje. Dále je otázka, jak se takový FMS zachová, pokud bude útočníkem např. váš kolega z práce. V takovém případě bude pravděpodobně souhlasit čas, IP adresa, přenosová rychlost, verze operačního systému včetně použitého prohlížeče i jazyka.

Budoucnost FMS

Nechci tvrdit, že proti krádeži identity, která v současné době představuje v této oblasti asi největší hrozbu, je tento systém poměrně bezzubý, protože útočník, který získal přihlašovací údaje uživatele vybrané služby např. pomocí phishingu nebo pharmingu nebo jakýmkoliv jiným způsobem, se obvykle i dozví, odkud se uživatel přihlašuje, v kolik hodin, z jaké IP adresy, jaký používá operační systém, typ prohlížeče i jazyk a tudíž má možnost se chovat úplně stejně jako skutečný uživatel a FMS ho může velice obtížně odhalit. Jediné co útočník nezná, jsou předchozí finanční transakce uživatele a to ho může prozradit. Domnívám se, že FMS má své opodstatnění a spousta pokusů o podvod může být díky jeho implementaci zmařena. Nicméně základem by měla být především vhodně zvolená a správně použitá vícefaktorová autentizace, která se v takovém případě stává nutností, protože tak se lze krádeži identity poměrně účinně bránit. Zbývá jen vyřešit, co by mělo být tím dalším faktorem. Jednotlivým autentizačním metodám se podrobně věnuji ve svém seriálu nazvaném příznačně autentizace.


Líbil se Vám článek?
Budeme potěšeni, pokud vás zaujme také reklamní nabídka

Social Bookmarking

     





Hodnocení/Hlasovalo: 1.02/60

1  2  3  4  5    
(známkování jako ve škole)