Hlavní navigace

Karty, kterým svěřujeme své peníze a osudy

 Autor: 29
Pavel Čepský 15. 7. 2010

Úspory pod polštářem dnes schovává už jen málokdo, vše svěřujeme digitálnímu světu. Karty, a nejen ty platební, se tak stávají častým cílem útočníků, případně prostředkem krádeže identit. Jaké formy autentizace nám vlastně různé typy karet nabízejí a jaká bude jejich budoucnost?

Platební karty i jejich různé další varianty používá dnes již prakticky každý – ať už jde o placení v obchodech, výběry z bankomatů nebo online nákupy. Bereme je jako samozřejmost, velice často jsou však podceňovány trable a nebezpečí, která jsou s nimi spojena. Na některé nedostatky a možná řešení do budoucna upozornila v nedávné době společnost RSA, a to prostřednictvím svého dokumentu Secure Payment Services: Card Data Security Transformed, který si po následování odkazu můžete v původním anglickém znění kompletně prolistovat.

Nový dokument RSA shrnuje, jak nová generace služeb pro zpracování plateb využívá výhod, jenž přináší šifrování dat během veškerého zpracování a novější technologie nazývaná tokenizace. Šifrování dat znepřístupňuje čísla karet tak, že je zakóduje do zpětně dekódovatelného formátu. Tokenizace čísla karet zcela nahrazuje schéma zabezpečenými zástupnými údaji, které nelze použít k podvodným nákupům, avšak stále obchodníkům umožňují sledovat a analyzovat nákupní chování zákazníků u každé platební karty. Ve výsledku jsou tedy v případě zachycení zloději čísla karet nezneužitelná.

detaily RSA

nová generace služeb pro zpracování plateb – architektura. Zdroj: RSA

Outsourcing jako výzva do budoucna

V oblasti uchovávání dat o platebních kartách podle citované zprávy obchodníci čelí stále větším výzvám – nároky na informační technologie rostou, stupňují se i požadavky poskytovatelů karet a strategie zlodějů platebních karet jsou stále důmyslnější. V této situaci představuje dokument model outsourcingu zabezpečení dat o platebních kartách označovaný jako „zabezpečené platební služby“. Zabezpečené platební služby převádějí ochranu informací o kartách na externí poskytovatele služeb. Vylepšují tak zabezpečení údajů o elektronických kartách a zároveň obchodníkům umožňují ušetřit čas, komplikace a náklady spojené s dosahováním bezpečnostních standardů vyžadovaných poskytovateli ka­ret.

„Zabezpečené platební služby mohou přinést významné výhody. Jsme přesvědčeni, že do roku 2015 přejde k modelu outsourcovaných služeb velké množství obchodníků,“ tvrdí Craig Tieken, viceprezident pro správu produktů pro obchodníky ze společnosti First Data. „Zodpovědnost obchodníků v souvislosti s ukládáním údajů o platebních kartách neustále vzrůstá. Tato nová centralizovaná úložiště však obchodníkům dovolují podržet si veškeré marketingové a provozní výhody spjaté se sledováním informací o kartách a zároveň se zbavit velké části rizika tím, že ze svého prostředí pro karty odstraní jejich čísla. Díky tomuto posunu vznikne nový oborový standard bezpečného zpracování transakcí se všemi typy platebních karet.“

Ponechme nyní stranou detaily možná inovativního přístupu, který je v dokumentu popsán a volně k dispozici prostudování, a podívejme se na bezpečnost karet v celé její šíři. S touhou útočníků po penězích v posledních letech stoupá také obliba obchodu s odcizenými údaji o platebních kartách, za několik dolarů je na webu možné zakoupit jejich čísla i s dalšími detaily. Také do této oblasti se promítá trend větší organizovanosti počítačové kriminality, za podobnými útoky a podvody totiž nestojí jednotlivci, ale početné skupiny – podle odhadů je zhruba 90 % všech zcizených údajů výsledkem akce většího počtu lidí.

Karty jako součást komplexního zabezpečení

Jakými cestami se vlastně útočníci a podvodníci k údajům dostávají? Cílené pokusy na malou skupinu uživatelů nejsou příliš efektivní, a tak černou práci odvede specializovaný malware, jenž odchytává komunikaci a navštívené webové stránky, a jakmile dojde k transakci, vyslídí požadované údaje a ty pak pošle svému tvůrci. Setkat se samozřejmě lze také s metodami sociálního inženýrství, které nevyžadují přílišné technické znalosti, nicméně přínos nebývá natolik velký. Také proto jsou útoky prostřednictvím specializovaného škodlivého kódu doplňovány jednorázovými průniky do vnitřních systémů organizací, které informace ukládají a případně je nemají dostatečně zabezpečené.

Podle různých tipů karet se můžete setkat s rozličnými ochranami, přístupovými kódy (nejčastěji klasický PIN) počínaje. Terminály a platební místa, kde stačí s klasickou kartou jen dostatečný zůstatek na účtu a podpis podle podpisového vzoru, jsou velice menšinovou výjimkou. Karty, teď nejen platební, mohou plnit různou funkci autentizace a případně i následné autorizace k jednotlivým úkonům:

  • Jednofaktorová autentizace (token) – v tomto případě karta svému uživateli slouží opravdu pouze jako propustka nebo povolenka k různým úkonům, nejsou vyžadovány žádné další parametry vstupu. Nejčastěji se s tímto můžete setkat u karet sloužících ke vstupu do vymezených oblastí, kdy je karta sice svázána se svým majitelem, nicméně její použití jinou osobou není jinak dál chráněno.
  • Dvoufaktorová autentizace (token + heslo) – nejčastější případ využití karet při platbách v reálném i online světě, kdy je vlastnictví karty jednou podmínkou, k tomu je však ještě zapotřebí znát utajenou informaci, například PIN nebo jiný kód. Mimo svět plateb se můžete setkat také s dvoufaktorovou autentizací, v níž jsou token nebo heslo nahrazeny biometrickým otiskem, tedy třebas variantami token-otisk prstu a heslo-otisk prstu.
  • Třífaktorová autentizace (token + heslo + biometrika) – nejsilnější kombinace zabezpečení ze strany vstupů uživatele, se kterou se však v praxi příliš nelze setkat. Vyžadovány mohou být buď všechny tři faktory, nebo například jen dva z nich pro správnou autentizaci.
biometricka ctecka

Biometrické zabezpečení vašeho notebooku může mít podobu čtečky otisku prstu

Důvěřujete online platbám?

Uvedené přístupy zabezpečení karet řeší možnosti uživatelského vstupu při provádění transakcí nebo rozhodování přístupu, a tak nezahrnují další bezpečnostní opatření, kam patří například šifrování údajů. Platby přes internet nebo výběry z bankomatu jsou z drtivé většiny zástupci kategorie dvoufaktorové autentizace, a tak právě tato oblast vyžaduje největší pozornost, jak na straně platícího klienta-koncového uživatele, tak z pozice obchodníka.

Krádeže informací o platebních kartách ale nemusí představovat pouze jeden přímý cíl prohnaných útočníků, stejně tak se stávají prostředkem při kompletních krádežích identit. Pokud už dojde k průniku do interního systému, který uchovává zpracované údaje o platebních kartách, získají útočníci zpravidla také detailní informace o držiteli takovéto karty. Stejně je tomu i v druhém z výše zmíněných případů, tedy také malware se může zaměřit na získání většího množství podrobností.

Ze strany internetových uživatelů, kteří web používají k platbám, zprvu hlavní problém spočíval v důvěře k těmto transakcím. Tak jako vždy, byla nedůvěra překonána a digitální peníze nyní v různých formách létají z jednoho konce světa na druhý, s více či méně spolehlivými mezikroky zabezpečení.

Své šance se chopili i tvůrci bezpečnostních programů pro koncové uživatele, prakticky každý komerční bezpečnostní balík se nyní chlubí ochranou před podvodnými platbami a krádežemi identit. Jde jen o přespříliš zveličené problémy? Jaký bude vývoj ochrany různých online transakcí, dojde i zde k většímu outsourcingu? Setkali jste se vy osobně v této oblasti s bezpečnostními trably? Podělte se o své zkušenosti v diskuzi níže pod článkem.

Anketa

Bojíte se online krádeže své identity?

Našli jste v článku chybu?

15. 7. 2010 10:19

pepak (neregistrovaný)
Používání mozku má své výhody, ale nestačí to. Jak vám vaše vlastní opatrnost pomůže proti tomu, že si váš oblíbený e-shop nechá ukrást vaše údaje? Samozřejmě chápu, že přece nebudete tak hloupý, abyste nakupoval ve špatně zabezpečeném e-shopu, ale jak ten špatně zabezpečený e-shop poznáte?

15. 7. 2010 17:41

jméno není podstatné (neregistrovaný)
Co to je za stupiditu? Proč hned jdete z extrému do extrému? Mezi vědět vše a vědět nic je obrovsky široká oblast.

Když jdu do přírody, tak třeba mám povědomí o základních rizicích - nebudu rejpat klackem do vosího hnízda, nebudu brát do ruky hady, které nepoznám, nebudu jíst houby a plody, které neznám atd. Nemusím nutně znát botaniku, nemusím být lékař, přesto těch informací, které většina lidí má, je hodně - předávají se většinou z rodičů na děti.

Když sednu do auta a vyjedu na …

Měšec.cz: Přejete si číslo účtu na přání?

Přejete si číslo účtu na přání?

Vitalia.cz: Láska na vozíku: Přitažliví jsme pro tzv. pečovatelky

Láska na vozíku: Přitažliví jsme pro tzv. pečovatelky

Podnikatel.cz: Přehledná titulka, průvodci, responzivita

Přehledná titulka, průvodci, responzivita

Měšec.cz: Kdy vám stát dá na stěhování 50 000 Kč?

Kdy vám stát dá na stěhování 50 000 Kč?

DigiZone.cz: Digi CZ výrazně zlevnila balíček HBO

Digi CZ výrazně zlevnila balíček HBO

Měšec.cz: U levneELEKTRO.cz už reklamaci nevyřídíte

U levneELEKTRO.cz už reklamaci nevyřídíte

DigiZone.cz: Milan Kruml: procházka TV historií

Milan Kruml: procházka TV historií

Měšec.cz: Banky mlží o nákladech na předčasnou splátku hypotéky

Banky mlží o nákladech na předčasnou splátku hypotéky

Vitalia.cz: Dáte si jahody s plísní?

Dáte si jahody s plísní?

Podnikatel.cz: Udávání kvůli EET začalo

Udávání kvůli EET začalo

DigiZone.cz: Další dva kanály nabídnou HbbTV

Další dva kanály nabídnou HbbTV

120na80.cz: Rakovina oka. Jak ji poznáte?

Rakovina oka. Jak ji poznáte?

DigiZone.cz: Rádio Šlágr má licenci pro digi vysílání

Rádio Šlágr má licenci pro digi vysílání

Podnikatel.cz: Na 3. prosince se chystá protest proti EET

Na 3. prosince se chystá protest proti EET

DigiZone.cz: Recenze Westworld: zavraždit a...

Recenze Westworld: zavraždit a...

Podnikatel.cz: Babiše přesvědčila 89letá podnikatelka?!

Babiše přesvědčila 89letá podnikatelka?!

120na80.cz: Stoná vaše dítě často? Upravte mu jídelníček

Stoná vaše dítě často? Upravte mu jídelníček

Měšec.cz: Finančním poradcům hrozí vracení provizí

Finančním poradcům hrozí vracení provizí

Podnikatel.cz: Na poslední chvíli šokuje výjimkami v EET

Na poslední chvíli šokuje výjimkami v EET

120na80.cz: Pánové, pečujte o svoje přirození a prostatu

Pánové, pečujte o svoje přirození a prostatu