Karty, kterým svěřujeme své peníze a osudy

Úspory pod polštářem dnes schovává už jen málokdo, vše svěřujeme digitálnímu světu. Karty, a nejen ty platební, se tak stávají častým cílem útočníků, případně prostředkem krádeže identit. Jaké formy autentizace nám vlastně různé typy karet nabízejí a jaká bude jejich budoucnost?

Platební karty i jejich různé další varianty používá dnes již prakticky každý – ať už jde o placení v obchodech, výběry z bankomatů nebo online nákupy. Bereme je jako samozřejmost, velice často jsou však podceňovány trable a nebezpečí, která jsou s nimi spojena. Na některé nedostatky a možná řešení do budoucna upozornila v nedávné době společnost RSA, a to prostřednictvím svého dokumentu Secure Payment Services: Card Data Security Transformed, který si po následování odkazu můžete v původním anglickém znění kompletně prolistovat.

Nový dokument RSA shrnuje, jak nová generace služeb pro zpracování plateb využívá výhod, jenž přináší šifrování dat během veškerého zpracování a novější technologie nazývaná tokenizace. Šifrování dat znepřístupňuje čísla karet tak, že je zakóduje do zpětně dekódovatelného formátu. Tokenizace čísla karet zcela nahrazuje schéma zabezpečenými zástupnými údaji, které nelze použít k podvodným nákupům, avšak stále obchodníkům umožňují sledovat a analyzovat nákupní chování zákazníků u každé platební karty. Ve výsledku jsou tedy v případě zachycení zloději čísla karet nezneužitelná.

detaily RSA

nová generace služeb pro zpracování plateb – architektura. Zdroj: RSA

Outsourcing jako výzva do budoucna

V oblasti uchovávání dat o platebních kartách podle citované zprávy obchodníci čelí stále větším výzvám – nároky na informační technologie rostou, stupňují se i požadavky poskytovatelů karet a strategie zlodějů platebních karet jsou stále důmyslnější. V této situaci představuje dokument model outsourcingu zabezpečení dat o platebních kartách označovaný jako „zabezpečené platební služby“. Zabezpečené platební služby převádějí ochranu informací o kartách na externí poskytovatele služeb. Vylepšují tak zabezpečení údajů o elektronických kartách a zároveň obchodníkům umožňují ušetřit čas, komplikace a náklady spojené s dosahováním bezpečnostních standardů vyžadovaných poskytovateli ka­ret.

„Zabezpečené platební služby mohou přinést významné výhody. Jsme přesvědčeni, že do roku 2015 přejde k modelu outsourcovaných služeb velké množství obchodníků,“ tvrdí Craig Tieken, viceprezident pro správu produktů pro obchodníky ze společnosti First Data. „Zodpovědnost obchodníků v souvislosti s ukládáním údajů o platebních kartách neustále vzrůstá. Tato nová centralizovaná úložiště však obchodníkům dovolují podržet si veškeré marketingové a provozní výhody spjaté se sledováním informací o kartách a zároveň se zbavit velké části rizika tím, že ze svého prostředí pro karty odstraní jejich čísla. Díky tomuto posunu vznikne nový oborový standard bezpečného zpracování transakcí se všemi typy platebních karet.“

Ponechme nyní stranou detaily možná inovativního přístupu, který je v dokumentu popsán a volně k dispozici prostudování, a podívejme se na bezpečnost karet v celé její šíři. S touhou útočníků po penězích v posledních letech stoupá také obliba obchodu s odcizenými údaji o platebních kartách, za několik dolarů je na webu možné zakoupit jejich čísla i s dalšími detaily. Také do této oblasti se promítá trend větší organizovanosti počítačové kriminality, za podobnými útoky a podvody totiž nestojí jednotlivci, ale početné skupiny – podle odhadů je zhruba 90 % všech zcizených údajů výsledkem akce většího počtu lidí.

Karty jako součást komplexního zabezpečení

Jakými cestami se vlastně útočníci a podvodníci k údajům dostávají? Cílené pokusy na malou skupinu uživatelů nejsou příliš efektivní, a tak černou práci odvede specializovaný malware, jenž odchytává komunikaci a navštívené webové stránky, a jakmile dojde k transakci, vyslídí požadované údaje a ty pak pošle svému tvůrci. Setkat se samozřejmě lze také s metodami sociálního inženýrství, které nevyžadují přílišné technické znalosti, nicméně přínos nebývá natolik velký. Také proto jsou útoky prostřednictvím specializovaného škodlivého kódu doplňovány jednorázovými průniky do vnitřních systémů organizací, které informace ukládají a případně je nemají dostatečně zabezpečené.

Podle různých tipů karet se můžete setkat s rozličnými ochranami, přístupovými kódy (nejčastěji klasický PIN) počínaje. Terminály a platební místa, kde stačí s klasickou kartou jen dostatečný zůstatek na účtu a podpis podle podpisového vzoru, jsou velice menšinovou výjimkou. Karty, teď nejen platební, mohou plnit různou funkci autentizace a případně i následné autorizace k jednotlivým úkonům:

  • Jednofaktorová autentizace (token) – v tomto případě karta svému uživateli slouží opravdu pouze jako propustka nebo povolenka k různým úkonům, nejsou vyžadovány žádné další parametry vstupu. Nejčastěji se s tímto můžete setkat u karet sloužících ke vstupu do vymezených oblastí, kdy je karta sice svázána se svým majitelem, nicméně její použití jinou osobou není jinak dál chráněno.
  • Dvoufaktorová autentizace (token + heslo) – nejčastější případ využití karet při platbách v reálném i online světě, kdy je vlastnictví karty jednou podmínkou, k tomu je však ještě zapotřebí znát utajenou informaci, například PIN nebo jiný kód. Mimo svět plateb se můžete setkat také s dvoufaktorovou autentizací, v níž jsou token nebo heslo nahrazeny biometrickým otiskem, tedy třebas variantami token-otisk prstu a heslo-otisk prstu.
  • Třífaktorová autentizace (token + heslo + biometrika) – nejsilnější kombinace zabezpečení ze strany vstupů uživatele, se kterou se však v praxi příliš nelze setkat. Vyžadovány mohou být buď všechny tři faktory, nebo například jen dva z nich pro správnou autentizaci.
biometricka ctecka

Biometrické zabezpečení vašeho notebooku může mít podobu čtečky otisku prstu

Důvěřujete online platbám?

Uvedené přístupy zabezpečení karet řeší možnosti uživatelského vstupu při provádění transakcí nebo rozhodování přístupu, a tak nezahrnují další bezpečnostní opatření, kam patří například šifrování údajů. Platby přes internet nebo výběry z bankomatu jsou z drtivé většiny zástupci kategorie dvoufaktorové autentizace, a tak právě tato oblast vyžaduje největší pozornost, jak na straně platícího klienta-koncového uživatele, tak z pozice obchodníka.

Krádeže informací o platebních kartách ale nemusí představovat pouze jeden přímý cíl prohnaných útočníků, stejně tak se stávají prostředkem při kompletních krádežích identit. Pokud už dojde k průniku do interního systému, který uchovává zpracované údaje o platebních kartách, získají útočníci zpravidla také detailní informace o držiteli takovéto karty. Stejně je tomu i v druhém z výše zmíněných případů, tedy také malware se může zaměřit na získání většího množství podrobností.

MIF16

Ze strany internetových uživatelů, kteří web používají k platbám, zprvu hlavní problém spočíval v důvěře k těmto transakcím. Tak jako vždy, byla nedůvěra překonána a digitální peníze nyní v různých formách létají z jednoho konce světa na druhý, s více či méně spolehlivými mezikroky zabezpečení.

Své šance se chopili i tvůrci bezpečnostních programů pro koncové uživatele, prakticky každý komerční bezpečnostní balík se nyní chlubí ochranou před podvodnými platbami a krádežemi identit. Jde jen o přespříliš zveličené problémy? Jaký bude vývoj ochrany různých online transakcí, dojde i zde k většímu outsourcingu? Setkali jste se vy osobně v této oblasti s bezpečnostními trably? Podělte se o své zkušenosti v diskuzi níže pod článkem.

Anketa

Bojíte se online krádeže své identity?

13 názorů Vstoupit do diskuse
poslední názor přidán 18. 7. 2010 12:50

Školení e-mail marketingu – pokročilé techniky

  •  
    Jak připravit šablonu moderního e-mailu
  • Jak spustit automatizované kampaně
  • Jak dynamizovat běžnou rozesílku

Detailní informace o školení e-mail marketingu - pokročilé techniky »