Wstęp
Covid przyspieszył rozwój technologiczny i digitalizację wszystkiego, co się da. Obecnie większość spraw załatwiamy online, nawet takie, których nie wyobrażaliśmy sobie możliwych jeszcze kilka lat temu. Wiele osób nie była gotowych na tak szybki postęp digitalizacji i zostało rzuconych na głęboką wodę Internetu, radząc sobie lepiej lub gorzej w kwestiach technologicznych. Niestety, taki stan rzeczy został zauważony przez przestępców, którzy również przenieśli swoje działania do Internetu. Każdego dnia próbują oni oszukać naszych Klientów atakami typu phishing, podczas których wyłudzane są Ich dane uwierzytelniające. Naszym zadaniem jest chronić Klientów przed stratami finansowymi, dlatego wprowadziliśmy dwufaktorowe logowanie do Mojego ING oraz zaufane przeglądarki.
Założenia
Dotychczas dwufaktorowe logowanie do Mojego ING w przeglądarce stosowaliśmy zgodnie z wymaganiami dyrektywy PSD2 jedynie wtedy, gdy nie było takiego logowania przez okres 90 dni. Po zmianie wymagamy dwóch faktorów przy każdym logowaniu do Mojego ING, co znacznie wzmocnia bezpieczeństwo w przypadku ataków typu phishing.
Zmiana dotyka Moje ING w wersji przeglądarkowej, włączając w to również przeglądarki na telefonie. W aplikacji mobilnej już teraz korzystamy z dwuskładnikowego uwierzytelnienia (SCA) przy każdym logowaniu, o czym stanowi sparowana aplikacja mobilna oraz PIN/biometria.
Funkcjonalność weryfikacji i dodanie zaufanej przeglądarki włączone jest w proces logowania i autoryzowane aplikacją mobilną wymienną na kod w wiadomości SMS. Jeśli Klient nie chce dodać przeglądarki do zaufanych, w celu uzyskania dostępu do Mojego ING, musi potwierdzić operację logowania w aplikacji mobilnej lub autoryzować ją kodem przekazanym w treści wiadomości SMS.
Po dodaniu przeglądarki do zaufanych, jej ważność wynosi 90 dni, po czym jest automatycznie usuwana. Wymaganie to jest podyktowane zapisami w wynikającymi z dyrektywy PSD2 i RTS. Zgodnie z tymi przepisami, silne uwierzytelnienie musi być stosowane co 90 dni, a sam proces dodawania przeglądarki do zaufanych wymaga silnego uwierzytelnienia i jest wpleciony w proces logowania. Dlatego zdecydowaliśmy, że maksymalny okres ważności zaufanej przeglądarki wynosi również 90 dni.
Realizacja techniczna
Z technologicznego punktu widzenia funkcjonalność zaufanych przeglądarek może być wprowadzana na dwa sposoby:
- device fingerprint (DFP) - przeglądarki będący swojego rodzaju odzwierciedleniem konfiguracji systemu z jakiego korzysta użytkownik – oczywiście z zachowaniem jego prywatności oraz w zakresie tego do czego ma dostęp javascript w przeglądarce oraz
- cookie - będący randomową wartością - przechowywany przez przeglądarkę.
Oba te rozwiązania mają swoje wady. DFP zmienia się wraz z aktualizacjami przeglądarki bądź zmianami sprzętowymi oraz może nie być unikalne – dwa identyczne komputery o tej samej konfiguracji oraz ustawieniach mogą posiadać identyczne DFP. Pliki cookie natomiast mogą być wyczyszczone przez klienta bądź programy antywirusowe, mogą być automatycznie czyszczone po zakończeniu sesji przeglądarkowej, nie są zapisywane w przypadku pracy w trybie prywatnym bądź skrajnie mogą być nawet przeniesione na inne urządzenie.
Wsparcie zaufanych przeglądarek w walce z oszustwami
Wprowadzenie zaufanych przeglądarek, a co za tym idzie, silnego uwierzytelnienia przy każdym logowaniu do Mojego ING, jest jedną z metod ochrony przed atakami phishingowymi w tym smishingowymi.
- Phishing to metoda oszustwa, w której przestępca podszywa się pod nasz bank w celu kradzieży poufnych danych, które mogą być wykorzystane do uzyskania dostępu do bankowości. Często oszuści tworzą strony internetowe, które bardzo przypominają stronę banku i proszą o podanie np. pełnego hasła do bankowości lub wyłudzają dane potrzebne do sparowania aplikacji mobilnej.
- Smishing to odmiana phishingu, która ogranicza się do atakowania za pomocą wiadomości SMS, zawierających na przykład link przekierowujący do bramki, w której należy dokonać płatności rzekomo brakującej kwoty. Następnie scenariusz rozwoju sytuacji jest podobny do opisanego wcześniej phishingu.
Zaufana przeglądarka oraz SMS w przypadku logowania z niezaufanej przeglądarki chronią nas przed skutkami tych ataków. Przestępca, aby zalogować się wyłudzonymi danymi, musi posiadać zaufaną przeglądarkę. Aby to osiągnąć, musi wyłudzić dodatkowy faktor autoryzacyjny w postaci kodu autoryzacyjnego w SMS lub potwierdzenia w aplikacji mobilnej. Użycie skradzionych danych często następuje w momencie, gdy klient nie znajduje się przy komputerze, co praktycznie uniemożliwia wykradzenie SMS-a lub potwierdzenia mobilnego potrzebnego do zalogowania się.
Jednak czasami ataki są przeprowadzane w czasie rzeczywistym, a Klienci podają swoje dane uwierzytelniające, włącznie z kodami SMS. W takich sytuacjach, jeśli logowanie odbywa się z niezaufanej lub świeżo dodanej przeglądarki, możemy zastosować dodatkowe zabezpieczenia dla krytycznych procesów. Ostatnio opracowaliśmy zbiór solidnych reguł wychwytujących anomalie, które szeroko stosujemy. Jedną z dodatkowych reguł będzie logowanie z niezaufanej lub świeżo dodanej przeglądarki co pozwoli nam jeszcze celniej trafiać w operacje fraudowe.
Podsumowanie
Dążymy do zapewnienia naszym Klientom optymalnego i bezpiecznego procesu logowania, dlatego nieustannie pracujemy nad doskonaleniem naszych rozwiązań. Cieszymy się z wszelkich sugestii, które są dla nas niezwykle cenne w tym procesie. Wprowadzenie dodatkowego czynnika uwierzytelniającego, takiego jak zaufana przeglądarka, pomoże nam podnieść poziom bezpieczeństwa, jednocześnie nie utrudniając korzystania z systemu dla szerokiego grona Klientów. Dzięki temu nasza platforma staje się bardziej odporna na próby nieautoryzowanego dostępu, a nasi Klienci mają większe poczucie bezpieczeństwa w związku z ochroną swoich danych.