A pénz- és hitelintézetek informatikára vonatkozó jogszabályai a múlt évben és ez év elején is módosultak. A PSZÁF ajánlása alapján a pénzügyi szervezetek vezetésének mérnie kell a szervezet informatikával kapcsolatos szolgáltatásait, és össze kell hasonlítania azokat a jogszabályban elvárt szintekkel. Az informatika teljesítményét rendszeres jelleggel, folyamatosan értékelni kell. A vezetésnek felügyeleti feladatai keretében fel kell tárnia a sebezhetőségi pontokat és a biztonsági problémákat. A pénzügyi szervezet köteles az informatikai rendszer biztonsági kockázatelemzését szükség szerint, de legalább kétévente felülvizsgálni és aktualizálni. A Symantec a szemináriumon az ajánlás betartására buzdította a megjelenteket oly módon, hogy egyúttal minden szükséges segítséget is igyekezett megadni.

Hallai Szabolcs, az IT Business Consulting Magyarország Kft. ügyvezető igazgatója a kockázatelemzés és jogszabálymegfelelőség operatív megoldásáról ismertetett esettanulmányt, amelyből kiderült, hogy a jogszabályi megfelelőséget leegyszerűsíti, ha olyan eszközök használatát vezetjük be, mint például a Symantec Enterprise Security Manager. A kockázatkezeléssel kapcsolatban bemutattak egy rendkívül költségkímélő megoldást, illetve megemlítettek ingyenes kockázatkezelési metodológiákat is.

A jogszabályban előírt monitorozás operatív megoldásáról Kaczúr Zsolt, a Symantec Security Management Professional IT Business Consulting Magyarország Kft. vezető rendszermérnöke tartott előadást, bemutatva az online sérülékenységvizsgálat lényegét és eredményeit a Symantec Network Security Appliance készülékkel.

A legtĂśbb esetben a szĂĄmĂ­tĂłgĂŠpes bĹąncselekmĂŠnyek csak sikeressĂŠgĂźk esetĂŠn bĂźntethetők. MĂĄs szĂłval előbb be kell csapni vagy meg kell lopni az ĂĄldozatot. Ebből kĂśvetkezően a jelszĂłhalĂĄszok jelenleg dĂ­vĂł tevĂŠkenysĂŠge mĂŠg nem tĂśrvĂŠnytelen. JelszĂłhalĂĄszatnak azt nevezzĂźk, ha egy kĂ­vĂźlĂĄllĂł – ĂĄltalĂĄban anyagi előny remĂŠnyĂŠben – megprĂłbĂĄlja kicsalni valamely magĂĄnszemĂŠly, csoport vagy szervezet titkos informĂĄciĂłit. A Gartner Inc. becslĂŠse szerint 57 milliĂł felnőtt talĂĄlta mĂĄr magĂĄt szembe jelszĂłhalĂĄszattal, 1,78 milliĂł pedig ĂĄldozatĂĄul is esett.

Az igazi gondot az jelenti, hogy a kísérlet akkor is árt az átejtéshez használt intézmény hírnevének és a felhasználók netes ügyletekbe vetett bizalmának, ha nem sikerül rászedni valakit az információ kiadására. Emiatt a jelszóhalászat komolyan veszélyezteti az e-kereskedelem jövőjét és az általános gazdasági növekedést. A Gartner a közelmúltban azt jelezte, hogy az e-kereskedelem növekedése jelentősen le fog lassulni (2007-re csak 10 százalék lesz), hacsak nem sikerül kiküszöbölni a fogyasztóknak a net biztonsága iránt érzett aggodalmát. A probléma műszaki megoldásai jelentik az egyik lehetőséget. Az információvédelmi cégek egyre kifinomultabb eljárások létrehozásával készülnek megóvni a fogyasztókat és az intézményeket.

A jelszóhalászat-ellenes szervezetek egyetértenek abban, hogy a jelszóhalászat áldozatává válás elkerülésére az első lépés az, hogy ne válaszoljunk a személyes információt kérő e-mailre, illetve ne kattintsunk rá az abban található linkre. Azt tanácsolják a fogyasztóknak, hogy ne töltsenek ki e-mailben kapott űrlapot. Ehelyett azt ajánlják, hogy hívják fel a kérdéses céget, vagy közvetlenül, a webcím begépelésével lépjenek be a cég honlapjára. Ha beléptek, bármilyen információ megadása előtt ellenőrizzék a böngésző állapotsorában, hogy látható-e a biztonságos kapcsolatot jelentő bezárt lakat, illetve a webcím http helyett a védett webhelyet jelentő https-sel kezdődik-e.

A jelszóhalászó manipulációk ellen védő irányelvek követésével jelentősen csökkenthető annak az esélye, hogy a fogyasztó csalás áldozatául esik. Ha a hatóságok, a szakma és a fogyasztók fokozzák erőfeszítéseiket, hogy megakadályozzák a digitális ragadozók bűnös céljainak elérését az internet kihasználásával, az internet továbbra is a gazdasági növekedés fokozásának és a mindennapi élet kényelmesebbé tételének fontos eszköze lehet.

A Bankszakma MĹąszaki TitkĂĄrsĂĄga (Bank Industry Technical Secretariat – BITS) ajĂĄnlĂĄsokat adott ki a netes mĹąveletek vĂŠdelmĂŠre:

• VĂŠdjĂźk a PIN kĂłdokat ĂŠs a jelszavakat! Olyan PIN kĂłdot ĂŠs jelszĂłt hasznĂĄljunk, amely nem tartalmaz kĂśnnyen azonosĂ­thatĂł informĂĄciĂłt, mint pĂŠldĂĄul nevek, szĂźletĂŠsnapok vagy telefonszĂĄmok!
• Ha a neten keresztĂźl bĂĄrmilyen szĂĄmlĂĄt hasznĂĄlunk, győződjĂźnk meg arrĂłl, hogy jĂł hĂ­rĹą, szĂśvetsĂŠgi biztosĂ­tĂĄsi hĂĄttĂŠrrel ĂŠs vĂŠdett webhellyel rendelkező pĂŠnzintĂŠzettel van-e dolgunk!
• Ha pĂŠnzintĂŠzeti webhelyen jĂĄrunk, ellenőrizzĂźk annak URL-jĂŠt, hogy az megegyezik-e a bankĂŠval, figyeljĂźnk az elĂ­rt szavakra vagy mĂĄs olyan jelre, amely arra utalhat, hogy esetleg ĂĄtverĂŠs van a dologban! Ha a webhelyet gyanĂşsnak talĂĄljuk, ĂŠrtesĂ­tsĂźk a pĂŠnzintĂŠzetet!
• Tudakoljuk meg, hogy milyen lehetősĂŠg van vĂŠdett netes pĂŠnzĂźgyi szolgĂĄltatĂĄsra a pĂŠnzintĂŠzetĂźnknĂŠl! A pĂŠnzintĂŠzettel csak vĂŠdett weblapjĂĄn keresztĂźl lĂŠpjĂźnk kapcsolatba a neten!
• TĂĄjĂŠkoztassuk pĂŠnzintĂŠzetĂźnket bĂĄrmely gyanĂşs e-mailes vagy telefonos megkeresĂŠsről, pĂŠldĂĄul ha valaki a szĂĄmlĂĄnkrĂłl, illetve netes jelszavunkrĂłl kĂŠrdezőskĂśdik!
• Sohase vĂŠgezzĂźnk pĂŠnzĂźgyi mĹąveletet szĂĄmunkra ismeretlen webhelyen vagy pĂŠnzintĂŠzettel! Sok tolvaj hoz lĂŠtre olyan „kamu" webhelyet, amellyel pĂŠnzt akar szerezni a gyanĂştlan ĂĄldozatoktĂłl.
• Azonnal tĂĄjĂŠkoztassuk pĂŠnzintĂŠzetĂźnket, ha bĂĄrmilyen vĂĄltozĂĄst lĂĄtunk a szĂĄmlainformĂĄciĂłinkban!

Már több pénzintézet kísérletezik kétutas és kéttényezős azonosítással. A kétutas azonosítás azzal jár, hogy minden felhasználó megad egy titkos képet, amelyet azonosítás céljából megmutatnak neki, ezzel igazolva azt, hogy az e-mail és a webhely valódi. Ha a felhasználó belép egy webhelyre, a felhasználónév megadása után a saját képét kell látnia. Ha azt látja, akkor tudja, hogy a valódi webhellyel van dolga. Ekkor nyugodtan megadhatja jelszavát és más kényes információit. Ugyanígy, ha a saját képe van egy e-mailhez csatolva, megbízhat benne. A kéttényezős azonosítás a felhasználó számítógépének védett felismerésén keresztül valósul meg. A számítógépet használják második azonosítási tényezőként. Az erős, kéttényezős azonosítás megvalósítható anélkül, hogy a webhelynek bármilyen új hardvert vagy szoftvert kellene kiadnia, vagy a felhasználónak ilyennel kellene rendelkeznie. Az ezáltal elért nagyobb biztonság az ügyfelek javára szolgál, jobban bíznak, és több hajlandóságot mutatnak a netes elérés előnyeinek kihasználására.

Jóllehet a jelszóhalászat továbbra is ijesztő veszélyforrást jelent a pénzintézetek számára, már megjelentek a láthatáron az első pozitív jelek. A pénzintézetek napról napra jobban látják a jelszóhalászat problémáját, és hatékonyabban tudnak rá reagálni. Ugyanakkor a műszaki fejlődés is fellendült, a próbák és a bemutatók a jelszóhalászat leküzdése felé mutatnak. A gyártók is fokozzák együttműködésüket, hogy átfogó, integrált megoldásokat kínálhassanak a jelszóhalászat ellen. Éppen idejében, mert hosszú utat kell még megtenni ahhoz, hogy ezek az erőfeszítések visszaállítsák a fogyasztók netes ügyletekbe vetett bizalmát.

***

Online pĂłker: amikor a szemĂŠlyes adat a tĂŠt

Friss sajtóÊrtesĂźlĂŠs szerint az F-Secure Ăşgynevezett rootkit-felismerő technolĂłgiĂĄja, a Backlight leleplezett egy online pĂłkerjĂĄtĂŠkosokra szakosodott „hĂĄtsĂłajtĂł-programot", amely a felhasznĂĄlĂłk tudta nĂŠlkĂźl tĂĄrolta szemĂŠlyes adataikat, hogy kĂŠsőbb tovĂĄbbĂ­tsa azokat a szoftver kĂŠszĂ­tőinek. Az RBCalc.exe vagy mĂĄs nĂŠven Rakeback Calculator nevĹą trĂłjait online pĂłkerjĂĄtĂŠkosok esĂŠlyeit nĂśvelő segĂŠdprogramkĂŠnt lehetett letĂślteni a Checkraised.com szerencsejĂĄtĂŠk-weboldalrĂłl.

A szĂĄmĂ­tĂłgĂŠphez illegĂĄlis hozzĂĄfĂŠrĂŠst biztosĂ­tĂł hĂĄtsĂł ajtĂł Ăşgy jĂśtt lĂŠtre, hogy az RBCalc.exe minden lĂĄthatĂł jel nĂŠlkĂźl nĂŠgy futtathatĂł fĂĄjlt helyezett el a felhasznĂĄlĂł szĂĄmĂ­tĂłgĂŠpĂŠn, majd egy rootkit segĂ­tsĂŠgĂŠvel elrejtette a mĹąveletet. MiutĂĄn ez megtĂśrtĂŠnt, az eszkĂśz Ă­rĂłja hozzĂĄfĂŠrhetett a felhasznĂĄlĂł szĂĄmĂ­tĂłgĂŠpĂŠn tĂĄrolt, kĂźlĂśnbĂśző online pĂłkerweboldalakra – pĂŠldĂĄul Partypoker, Empirepoker, Eurobetpoker, Pokernow – ĂŠrvĂŠnyes bejelentkezĂŠsi informĂĄciĂłkhoz. MiutĂĄn a hacker megszerezte a felhasznĂĄlĂł belĂŠpĂŠsi kĂłdjait, Ăśnmaga ellen jĂĄtszhatott pĂłkert Ăşgy, hogy az ellopott adatokkal szĂĄndĂŠkosan veszĂ­tett, sajĂĄt nevĂŠben pedig begyĹąjtĂśtte a nyeremĂŠnyt.

„Az online pĂłker egyre nagyobb nĂŠpszerĹąsĂŠge miatt a rosszindulatĂş programok Ă­rĂłi felfedeztĂŠk az internetes szerencsejĂĄtĂŠkokban rejlő pĂŠnzkereseti lehetősĂŠget. A Rakeback Calculator ĂźgyĂŠnek jelentősĂŠge az, hogy a rootkit segĂ­tsĂŠgĂŠvel elkĂśvetett csalĂĄst – bĂĄr tudtĂĄn kĂ­vĂźl – egy legĂĄlis webhely tette lehetővĂŠ" – mondta el Kimmo Kasslin, az F-Secure adatbiztonsĂĄgi laboratĂłriumĂĄnak kutatĂłja.

Miután az F-Secure felfedezte a kártevőt, a Checkraised.com eltávolította weboldaláról a kártékony programot, és hivatalos közleményben kérte felhasználóit, hogy változtassák meg a pókerweboldalakra szóló jelszavaikat, továbbá ismertette a kártevő kézi eltávolításának lépéseit. A Checkraised.com által kiadott teljes állásfoglalás

Az F-Secure azt ajánlja azoknak a felhasználóknak, akik a Checkraised.com weboldalról letöltötték és futtatták az RBCalc.exe programot, hogy azonnal ellenőrizzék rendszerük fertőzöttségét. Az F-Secure egy új szolgáltatása segítségével ingyenesen megvizsgálhatják számítógépeiket, és a program az F-Secure BlackLight motorral felismeri a rejtőzködési technológiákat alkalmazó kártevőket is.

A rosszindulatĂş RBCalc alkalmazĂĄs technikai leĂ­rĂĄsa