Bezbednost elektronskog plaćanja

Sve je više načina na koje možete raspolagati svojim novcem, ali kako već to obično biva, gde su pare, tu su uvek i lopovi. Mnogi korisnici i dalje zaziru od elekronskog plaćanja, i nisu u pravu što to rade – sigurnost nikada ne može biti apsolutna, ali je trenutno bezbednost elektronskog novca u najmanju ruku jednaka ili veća od bezbednosti onog pravog, papirnog. Kakva nas budućnost očekuje u ovoj oblasti?

01_Bezbednost_Security1Platne kartice, Internet bankarstvo i mobilno bankarstvo su najzastupljeniji načini elektronskog plaćanja. Jednostavnost, efikasnost i bezbednost plaćanja elektronskim novcem osnovne su prednosti u odnosu na klasičan novac, kako za kupca tako i za prodavca. Ipak, elektronske prevare su deo naše svakodnevnice – nekada smo se plašili lopova koji su krali novčanike ili obijali kuće, a u današnje vreme plašimo se hakera ili zlonamernih službenika koji, koristeći svoju poziciju i tehnološko znanje, mogu neovlašćeno doći u posed našeg novca. Ipak, statistike kažu da je elektronski novac trenutno jednako siguran, pa i sigurniji od papirnih novčanica, a uobičajene prevare se uglavnom događaju „zaslugom“ korisnika koji nisu sledili preporučene bezbednosne mere. Većinu prevarenih koštalo je neznanje pre nego nemar, pa ćemo vam u narednim redovima pomoći savetima o bezbednom korišćenju elektronskog novca.

Novac kao informacija

Na početku je važno razjasniti sledeće – vaš novac nalazi se u formi informacije u IT sistemu banke. Ukoliko želite da njim raspolažete, fizički ćete ga „podići“ na šalteru ili bankomatu u formi papirnih novčanica ili pak „preneti“ na neki drugi račun, izdavanjem naloga za plaćanje. Nalog za plaćanje možete izdati na šalteru banke popunjavajući uplatnicu ili korišćenjem nekog elektronskog sistema, a princip je isti – banka je dužna da utvrdi da je nalog validan (da je došao od vlasnika računa ili ovlašćenog lica, da na računu s kog se vrši prenos ima dovoljno raspoloživih sredstava, da transakcija nije protivzakonita i slično), nakon čega ga izvršava i za tu uslugu (najčešće) naplaćuje proviziju.

U okviru klasičnog bankarstva, klijent koji se pojavljuje na šalteru identifikovan je ličnim dokumentom (ličnom kartom ili pasošem) od strane bankarskog službenika. Ako je sve u redu, prelazi se na proveru i obradu ostalih elemenata naloga za plaćanje. Ovaj naoko jednostavan proces stvara redove na šalterima, a niko, baš niko ne voli da čeka u redu. Kako bi se rešile redova (a i smanjile troškove), banke su razvile sisteme za elektronsko plaćanje. Čekanje u redu je nestalo, ali su se pojavili drugi problemi, među kojima je najveći kako utvrditi ko izdaje nalog za plaćanje i da li na to ima pravo. Elektronske prevare najčešće koriste ovu „slabost“ sistema, ali se pravilnim korišćenjem elektronskih sistema plaćanja rizici mogu svesti na minimum.

Platne kartice

Platne kartice predstavljaju najkorišćeniji kanal elektronskog plaćanja današnjice. Karticom možete da platite na tri načina – provlačenjem magnetne trake (piste) kroz uređaj za očitavanje, očitavanjem podataka korišćenjem elektronskog čipa (ukoliko ga kartica poseduje) ili putem unošenja podataka s kartice na Internet sajtu. Iako deluje da se sistemi s magnetnim pistama potiskuju iz upotrebe jer su podložniji prevarama od sistema sa čipom, na globalnoj sceni još nije tako. Kartice koje imaju samo magnetnu pistu i dalje su u masovnoj upotrebi, pa se i prevare koje nastaju kloniranjem kartica i dalje dešavaju. Drugi problem je ljudski faktor – ukoliko vam je kartica ukradena a još je niste blokirali, retko koji prodavac će uporediti potpis sa onim sa kartice.

Pročitajte i:  Twitter: Direktne poruke korisnika špijunirane

Kartice sa čipom su sigurnije, teže ih je falsifikovati, a umesto potpisa koristi se PIN kod. Takve kartice u Srbiji izdaje većina banaka, pa ukoliko posedujete onu s magnetnom pistom, vredi raspitati se da li je proces zamene za kartice sa čipom u toku, pošto vas banka vrlo verovatno neće zvati do isteka kartice koju posedujete. Problemi kartica sa čipom su uglavnom vezani za PIN broj – ukoliko ga zaboravite, treći pogrešan unos blokiraće karticu, što je dodatni trošak, uz obavezan odlazak u ekspozituru banke. Nesavesni vlasnici ovaj problem rešavaju tako što PIN zapišu i taj papirić nose uz karticu. U slučaju da vam je kartica sa čipom ukradena i transakcija nakon toga uspešno obavljena, banka može da ospori reklamaciju, uz logično obrazloženje da su šanse da je napadač pogodio PIN, koji ste samo vi dužni da znate, ravne nuli.

Korišćenje kartice na Internetu znači da ćete na željenom sajtu ostaviti sve informacije s kartice: broj, ime i prezime, datum važnosti. Prilikom plaćanja, sredstva će biti preuzeta s vašeg računa i preneta na željeni račun prodavnice, ali će informacije koje ste uneli uglavnom biti sačuvane u nekoj od baza podataka prodavca. Vesti da su hiljade (čak i milioni!) brojeva platnih kartica neovlašćeno preuzeti iz baza u kojima se čuvaju, više puta u toku godine nađu se na naslovnim stranama svih medija. Klijenti koji su oštećeni krađom podataka, uz eventualni povraćaj neovlašćeno korišćenih sredstava, moraju da zamene postojeću karticu, što opet podrazumeva odlazak do banke, popunjavanje formulara, čekanje, gubitak poverenja…

Kartice su toliko dugo s nama da su metodi zaštite dobro poznati, ali je korisno ponoviti ih. Ukoliko koristite kartice s magnetnom pistom, zamenite ih što pre – najčešće se brojevi ovih kartica kradu korišćenjem specijalnih uređaja koji se instaliraju na bankomate (skimeri), pa lopovima nije ni potreban fizički pristup kartici. Ukoliko koristite kartice sa čipom, PIN kod zapamtite ili ga čuvajte fizički odvojeno od kartice. Ako baš morate da ga zapišete (jer korisite puno kartica), potrudite se da za to koristite neku aplikaciju na mobilnom telefonu (i tada su svi podaci zaštićeni lozinkom, ali morate da pamtite samo tu jednu lozinku za sve PIN‑ove).

Za plaćanje na Internetu najbolje je koristiti namenske kartice koje banke izdaju, i koje su vezane za poseban račun. Preporuka je da na tom računu ne držite sredstva, odnosno da ih prebacite u minimalno većem iznosu (3‑5%) neposredno pred plaćanje. Ukoliko neko neovlašćeno i dođe do broja kartice, sačekaće ga prazan račun, a banka će detektovati uporne pokušaje sa „sumnjive lokacije“, blokirati karticu i obavestiti policiju.

Pročitajte i:  (Ne)očekivani bezbednosni rizik kao veliki problem naše IT današnjice

Internet bankarstvo

Pod Internet bankarstvom uglavnom se podrazumeva korišćenje specijalizovanih bankarskih aplikacija na PC računarima. Prednosti Web tehnologije u odnosu na „klasične“ aplikacije su očigledne – dovoljan je browser, bilo koja lokacija i pristup vašim finansijama je omogućen. Web aplikacija za Internet bankarstvo umnogome je slična ostalim Web aplikacijama koje svakodnevno korisite – elektronskoj pošti, društvenim mrežama, forumima… Sve što je napadaču potrebno da bi ostvario pristup vašem bankovnom računu jeste vaše korisničko ime i lozinka, a to može da dozna koristeći razne tehnike socijalnog inženjeringa ili maliciozne aplikacije.

Početna tačka u odbrani vašeg elektronskog novčanika počinje instalacijom uobičajenih bezbednosnih rešenja na PC računar: redovne zakrpe se podrazumevaju, kao i bezbednosni (antivirus) softver. Sledeći korak je jaka lozinka, koju je važno periodično promeniti, zadržavajući isti nivo kompleksnosti. Na kraju, uvek se pridržavajte saveta i uputstava banke čije rešenje koristite – nepravilan rad i nepridržavanje uputstava vam, osim potencijalnih problema u raspolaganju sredstvima, može doneti i raskid ugovora.

Dobre vesti su da postoji snažna konkurencija među bankama u Srbiji koje omogućavaju elektronsko bankarstvo, pa ukoliko već možete da birate, predlažemo da izaberete rešenje dvofaktorske autentifikacije – na vama je hoćete li za autorizaciju koristiti mobilni telefon (verifikaciona SMS poruka), OTP token‑uređaj ili mini‑CD s digitalnim sertifikatom.

Mobilno bankarstvo

Mobilno bankarstvo, prema najnovijim istraživanjima, predstavlja budućnost finansijskih servisa. Mobilni uređaji su veći deo vremena uz nas, koristimo ih za komunikaciju, informisanje pa je logičan sledeći korak plaćanje. Mobilne bankarske aplikacije nisu novost u svetu, a na našem tržištu se očekuje ekspanzija u ovoj oblasti. Trenutno mala zastupljenost transakcija mobilnim telefonom dovoljan je razlog da odvrati potencijalne napadače – mobilno bankarstvo u Srbiji uglavnom koriste mlađe i tehnički dobro potkovane osobe, koje nije lako prevariti korišćenjem uobičajenih metoda. Ipak, u narednim godinama višestruko će se povećati obim i vrednost mobilno generisanih naloga za plaćanje, pa se očekuje i povećan broj napada.

Lažna bankarska aplikacija na Google Play ili Apple Store servisima predstavlja scenario oko koga se trenutno vode najvažnije diskusije. Reč je o igri mačke i miša, u kojoj su „loši momci“ uvek pola koraka isped – dovoljno je „pogoditi“ nekoliko neiskusnih korisnika pre nego što aplikacija bude uklonjena da se ostvari profit. Veliki je problem što će žrtve koristiti lažnu online aplikaciju danima dok ne primete nastalu štetu.

Druga zamka predstavlja korišćenje dvofaktorske autentifikacije / autorizacije na pogrešan način. Nije redak slučaj da mobilne aplikacije koriste kao dodatnu proveru korisnika ili naloga za plaćanje SMS poruku, a kao glavnu PIN ili lozinku. U scenariju u kome je napadač uspeo da stekne kontrolu (korišćenjem malicioznog softvera) nad prvim faktorom (sazna PIN / lozinku) mobilne aplikacije, SMS koji će mu stići na ukradeni mobilni uređaj vlasnika potpuno gubi bezbednosnu funkciju. Ovakve forme napada (delimično) se mogu sprečiti „vezivanjem“ aplikacije za neko svojstvo mobilnog uređaja (IMEI, model, tip i slično), mada se taj sistem pokazao nepraktičnim za korisnika – u slučaju gubitka ili česte promene uređaja, procedura prijave novog u banci je neophodna, što obesmišljava kompletan koncept.

Pročitajte i:  Krhki cyber univerzum: Da li će fragmentacija ubiti cyber bezbednost?

Korišćenje biometrije kao dodatne (ili osnovne?!) kontrole pristupa mobilnoj aplikaciji biće rešenje u budućnosti. Moderni mobilni uređaji su „prepuni“ biometrijskih senzora – novije generacije pametnih telefona već dolaze sa integrisanim čitačem otiska prsta, detekcijom pokreta, a očekuje se da se u budućnosti pojave i sistemi prepoznavanja lica, oka, glasa koje će biti veoma teško prevariti. Naravno, potrebno je vreme da bi se takve tehnike afirmisale kao sigurne i navele autore aplikacija iz sfere mobilnog bankarstva da im veruju.

Šta kaže regulativa

Večita dilema da li je bolje asfaltirati staze u parku pa zabraniti kretanje van njih, ili pustiti da ljudi sami naprave svoje puteve pa ih asfaltirati nakon što se ustale, slikovito se može primeniti i na današnje stanje propisa u oblasti elektronskog bankarstva. Trenutno u ovoj bici nema pobednika – dobra stručna praksa uspostavljena je i formulisana u vidu više standarda, dokumenata i preporuka, a zakoni (pre svega u EU i SAD) uglavnom prate ono što kažu struka i trenutni tehnološki razvoj.

U Srbiji, najvažniji elementi koje mora da poseduje sistem elektronskog bankarstva propisani su Odlukom o minimalnim standardima upravljanja informacionim sistemom finansijske institucije, u oviru poglavlja „Elektronsko bankarstvo“. U pet kratkih rečenica predviđeno je da je banka dužna da u poslovima elektronskog bankarstva primeni sigurne i efikasne metode za proveru i potvrdu identiteta i ovlašćenja lica, procesa i sistema, da obezbedi da autentifikacija korisnika uključi kombinaciju najmanje dva elementa za potvrđivanje korisničkog identiteta, kao i da obezbedi potvrdu svog identiteta kako bi korisnici mogli da provere autentičnost banke.

Na ovaj način, garantovano je da će osnovni bezbednosni elementi banke biti u saglasnosti sa svetskom praksom, a sve ostalo – funkcionalnosti, dizajn, uslovi korišćenja – predstavljaće polje na kome će se finansijske institucije takmičiti. Važni su i bezbednosni elementi na strani korisnika, što otvara vrata pojedincima i firmama da svoja rešenja prilagode budućem načinu plaćanja. Ukoliko želite da budete deo ove industrije koja će u budućnosti imati veliki značaj, časovnik otkucava!03_Bezbednost_Fingerprint

Kartice sa čipom su sigurnije, teže ih je falsifikovati, a umesto potpisa koristi se PIN kod. Njih u Srbiji izdaje većina banaka, pa ukoliko posedujete karticu s magnetnom pistom, vredi se raspitati da li je proces zamene za kartice sa čipom u toku.

U budućnosti će se pri kontroli pristupa aplikaciji za mobilno bankarstvo koristiti biometrija, u početku kao dodatni, a jednog dana možda i kao osnovni parametar

Lazar Dimić

(Objavljeno u časopisu PC#212)

Facebook komentari: