Firma HID Global udostępniła kolejną wersję oprogramowania Authentication Server w wersji 7.3. Nowością jest rozwiązanie ActivID Trusted Transactions, które wykorzystując technologię Mobile Push w powiązaniu z bezpiecznym tunelem, umożliwia bankom znacznie bardziej wygodne przesyłanie klientom powiadomień o oczekujących transakcjach na telefony i tablety i ich przeprowadzanie po uprzedniej autoryzacji.
– Klienci mają coraz większy problem z odróżnieniem oficjalnych stron internetowych, oryginalnych wiadomości e-mail czy telefonów pochodzących z ich banku od tych, które są przygotowane przez oszustów. Stąd coraz trudniej jest im uniknąć nieprawidłowych lub fałszywych transakcji – mówi Tim Phipps, wiceprezes marketingu produktowego Identity Assurance w HID Global. – Dzięki wprowadzonemu rozwiązaniu ActivID Trusted Transactions, banki mogą zaoferować swoim klientom znacznie wygodniejszy sposób mobilnej autoryzacji transakcji out-of-band który ostrzega ich w czasie rzeczywistym o podejrzanych transakcjach przeprowadzanych na kontach. Zapewniając prosty sposób potwierdzenia wiarygodności odnotowanej transakcji, oddajemy kontrolę z powrotem w ręce klientów – wyjaśnia.
Instytucje finansowe używające kanałów bankowości mobilnej polegają zazwyczaj na prostych hasłach statycznych lub na weryfikacji out-of-band bazującej na jednorazowych hasłach OTP (one-time-password) przesyłanych na telefony klientów w wiadomościach SMS. Cyberprzestępcy, którzy zaatakowali przeglądarkę internetową użytkownika lub zainstalowali złośliwe oprogramowanie za pomocą SMSa, mogą przejąć jego konto i przeprowadzić nieautoryzowane transakcje na ogromne sumy pieniędzy. Do przeprowadzenia takich ataków wykorzystuje się metody phishingu, vishingu, SMS malware, techniki man-in-the-middle i man-in-the-browser, co powoduje obniżenie zaufania konsumentów do bankowości elektronicznej.
W celu rozwiązania tego problemu oferowane przez firmę HID Global rozwiązanie out-of-band „Phone-as-a-Token” („telefon jako token”) wykorzystuje podpis transakcji oparty o kryptografię klucza publicznego, realizowany poprzez zaufany i bezpieczny kanał elektroniczny. Cała komunikacja jest szyfrowana z wzajemnym uwierzytelnieniem między urządzeniem mobilnym wykorzystywanym przez użytkownika, a aplikacją banku. Niezaprzeczalność transakcji jest zapewniona dzięki generowaniu prywatnego klucza użytkownika poza systemem banku, a następnie jego ochronie przed ujawnieniem, sklonowaniem lub dostępem z poziomu innej aplikacji. W początkowej fazie transakcji, system autoryzacji ActivID Authentication Server używa mechanizmu Mobile Push, aby do zarejestrowanego dla danego użytkownika urządzenia mobilnego dostarczyć powiadomienie autoryzacyjne. W kolejnym kroku dane transakcji są bezpiecznie przesyłane i zwizualizowane na telefonie użytkownika wraz z prośbą o ich akceptację lub odrzucenie przy pomocy aplikacji wykorzystującej narzędzie ActivID Mobile Signing Software Developer Kit (SDK). Autoryzowane odpowiedzi są przekazywane do serwera ActivID Authentication Server, który sprawdza ich autentyczność i przesyła je do systemu bankowego, aby zaakceptować lub zablokować transakcję.
Bezpieczeństwo, całkowity koszt posiadania (TCO) i wygoda użytkowania (UX) różnią się pomiędzy poszczególnymi metodami wykorzystującymi telefon jako token. Uwierzytelnianie Out-of-band (OOB) z powiadomieniami Push, zachowuje najlepszy balans pomiędzy uzyskanym bezpieczeństwem a wygodą użytkowania, dzięki czemu w wielu przypadkach okazuje się być najlepszym wyborem – mówi Ant Allan, analityk z firmy Gartner.
Dostępność
ActivID Trusted Transactions z powiadomieniami Mobile Push jest dostępne w najnowszej wersji oprogramowania ActivID Server Authentication 7.3 firmy HID Global.
Słownik pojęć:
Phishing – metoda oszustwa, w której przestępca podszywa się pod inną osobę lub instytucję, w celu wyłudzenia określonych informacji (np. danych logowania, szczegółów karty kredytowej) lub nakłonienia ofiary do określonych działań. Jest to rodzaj ataku opartego na inżynierii społecznej.
Vishing – inaczej voice phishing. Jest to rodzaj ataku na system telefoniczny, w celu uzyskania dostępu do prywatnych informacji osobistych i finansowych ze strony opinii publicznej dla celów zarobkowych. Vishing jest zwykle używany do kradzieży numerów kart kredytowych lub innych informacji wykorzystywanych w programach kradzieży tożsamości od osób fizycznych.
SMS malware – złośliwe oprogramowanie (robaki, wirusy, trojany etc.), wszelkie aplikacje, skrypty itp. mające szkodliwe, przestępcze lub złośliwe działanie w stosunku do użytkownika telefonu komórkowego.
Man in the middle – atak kryptologiczny polegający na podsłuchu i modyfikacji wiadomości przesyłanych pomiędzy dwiema stronami bez ich wiedzy. Przykładem takiego ataku jest podsunięcie nadawcy własnego klucza przy transmisji chronionej szyfrem asymetrycznym.
Man in the browser – forma zagrożenia internetowego związanego z atakami Man in the Middle. To koń trojański, który infekuje przeglądarkę internetową poprzez wykorzystanie luki w zabezpieczeniach przeglądarki. Może on zmodyfikować stronę internetową, zmodyfikować treści transakcji lub ustawić dodatkowe transakcje, a wszystko to w sposób zupełnie niewidzialny dla użytkownika i aplikacji internetowych.
Total Cost of Ownership (TCO) – zgodnie z Gartner, Inc., jest to całkowity koszt pozyskania, instalowania, użytkowania, utrzymywania i w końcu pozbycia się aktywów w firmie na przestrzeni określonego czasu. TCO służy do oceny bieżących i prognozowanych wydatków lub kosztów infrastruktury informatycznej i telekomunikacyjnej.
Źródło: HID Global