Digital Buzz cu Magda Sandulescu (Director, Directia Management Pasive)
IQads: Ideea principala despre atacurile de phishing care s-a desprins la cea mai recenta editie DigiCafe a fost aceea ca bancile nu trimit niciodata mail-uri clientilor si ca nu ar trebui sa raspundem niciodata acestui tip de mail-uri. In afara de acest avertisment, ce masuri ia Raiffeisen pentru educarea clientilor in privinta atacurilor de phishing?
Magda Sandulescu: Au fost transmise comunicate de presa, au fost postate mesaje pe site-ul oficial, precum si mesaje securizate destinate utilizatorilor, in interiorul aplicatiei Raiffeisen Online.
IQads: Ce se intampla cu banii furati de la cei care cad victima atacurilor de phishing? Ii pot recupera cumva?
Magda Sandulescu: Au loc investigatii privind atacurile, modul de originare si locatia acestora si sunt preluate declaratii ale clientilor privind accesarea sau nu a unor site-uri frauduloase prin intermediul unor e-mail-uri primite. Sunt inregistrate plangeri la politie si, odata identificate persoanele vinovate, au loc actiuni judecatoresti de recuperare a prejudiciului. Banca returneaza sumele clientilor odata ce acestea au fost recuperate.
IQads: Tot la DigiCafe, Raiffeisen a lansat alaturi de Mastercard un card reader care ofera un cod de autentificare, pentru autorizarea tranzactiilor online (demo). Cum functioneaza card readerul si cat de diferit e fata de un digi pass?
Magda Sandulescu: Card reader-ul este un dispozitiv ce permite detinatorului de card cu CIP sa i se genereze o parola unica pentru autentificare sau autorizare. In plus, pentru tranzactiile facute, a fost introdusa o autorizare suplimentara, care se face utilizand card readerul si cardul cu CIP.
Digipass este un token OTP al unui anumit producator (Vasco). Din punct de vedere al informatiilor afisate de card reader si al celor introduse de client, functionalitatea card reader-ului e apropiata de a unui digipass. Diferenta consta in faptul ca utilizatorul nu trebuie sa memoreze o alta parola/PIN pentru serviciul online, ci foloseste PIN-ul de la card. O alta diferenta este in ceea ce priveste securitatea distributiei dispozitivelor si a incarcarii cheii secrete pe acestea. In cazul card reader-ului se folosesc fluxurile securizate de la carduri, atat in privinta distributiei, cat si pentru securitatea cheilor de criptare. In securitatea acestor dispozitive trebuie avut in vedere intreg fluxul, de la generare pana la client.
Daca ne referim si la alte tipuri de token-uri OTP (altul decat digipass), care nu au facilitatea de semnare, optiunea de autorizare pe baza sumei si contului destinatie da un nivel de securitate net superior.
IQads: De unde se poate procura acest card reader?
Magda Sandulescu: De la orice agentie Raiffeisen Bank.
IQads: Pentru posesorii de alte carduri decat Mastercard, care sunt masurile de siguranta care trebuie luate de clienti impotriva atacurilor de phishing?
Magda Sandulescu: Trebuie urmarite recomandarile de securitate ale institutiei emitente de carduri sau detinatoare de instrumente de acces la distanta asa cum sunt internet banking, mobile banking sau phone banking. Aceste recomadari vizeaza in general protectia identitatii personale - nu trebuie dezvaluite pe site-uri neautorizate "? in general pe baza unor "? email-uri primite, informatii privind numarul cardului, PIN-ul, dar nici date personale "? de ex. CNP. Accesarea site-urilor reale trebuie sa se faca prin introducerea adresei cunoscute a solutiei de internet banking de la tastatura si nu dintr-un link din interiorul unui mesaj e-mail. Se poate verifica facil si existenta unui certificat digital pe server - click pe lacatul din dreapta jos sau verificarea adresei https si nu http.
IQads: Pe langa mail-ul care iti solicita datele personale, ce tipuri de atacuri de phishing exista si cum functioneaza de fapt acest tip de inselaciune? Cat de usor e sa fii pacalit?
Magda Sandulescu: Phishing-ul este o metoda plastica de exprimare si presupune un atac prin inselarea clientului detinator de instrument de acces la distanta sau de card, prin prezentarea unui site similar ca design cu cel original cu scopul de a capta ("pescui") informatiile cu caracter personal. Aceste informatii pot fi folosite de raufacatori pentru accesarea acestor instrumente in locul clientilor reali cu scopul de transfera fraudulos sume de bani. Canalele electronice de acces la conturile personale sunt in special tinta atacurilor de phishing pentru ca nu presupun prezenta fizica "? pe baza unui ID, a detinatorului de instrument.
Exista si phishing prin intermediul troienilor, precum si asa-numitul vishing, care foloseste voice-over Ip ca si canal de colectare a datelor senzitive.
In general institutiile de credit trebuie sa gaseasca un echilibru intre usurinta utilizarii unor solutii si securitatea crescuta oferita de diverse dispozitive externe necesare, ce fac mai complicat accesul.
Pentru protectia conturilor clientilor, Raiffeisen a lansat aceasta noua metoda de autentificare si autorizare a tranzactiilor ce presupune utilizarea unor dispozitive tehnice ce fac inutile aceste atacuri, pentru ca se bazeaza pe accesul in aplicatie pe baza unui card cu CIP si a unui cititor de carduri - iar autorizarea se face prin interactiunea intre aplicatie si card reader- pe baza cardului.
Trebuie spus ca aceasta solutie este rezistenta si impotriva phishing-ului cu troieni sau a vishing-ului.
IQads: Imi aduc aminte ca am vazut o replica a site-ului Raiffeisen pentru a comite astfel de atacuri. Cum ati rezolvat problema?
Magda Sandulescu: Toate atacurile de tip phishing se bazeaza pe crearea unor replici ale site-rilor reale, gazduite pe diferite servere nesecurizate de pe Internet si care nu sunt in administrarea Raiffeisen Bank. Raiffeisen colaboreaza cu o companie internationala ce blocheaza accesul pentru astfel de site-uri odata ce sunt identificate. In afara de dezactivarea propriu-zisa a site-ului fals, acesta e raportat in black-list-urile folosite de browserele cu optiune anti-phishing. Un astfel de browser atentioneaza utilizatorul atunci cand intra pe un site raportat in black-list.
IQads: Daca cineva observa o astfel de infractiune, un site care seamana perfect cu Raiffeisen de exemplu, si va suna pe numerele de contact afisate pe raiffeisenonline.ro, ajunge informatia la IT sau la cei care pot lua masuri? Incurajati consumatorii care depisteaza astfel de activitati sa vi le transmita?
Magda Sandulescu: Raiffeisen Bank are deja setate procese dedicate pentru tratarea acestui gen de infractiuni in cel mai scurt timp posibil. Am primit astfel de mesaje si de fiecare data am actionat pentru blocarea acessului la aceste site-uri. Informatiile captate prin canalele oficiale - Call Center, in agentii - ajung la colaboratorii nostri, ce intreprind eforturi imediate pentru blocarea respectivului site. Aceasta actiune poate necesita uneori un numar de ore intrucat site-urile gazda folosite in atacurile de phishing se pot afla oriunde in lume.
Recomandam tuturor celor care primesc astfel de mesaje sa notifice banca. Feed-backul primit de la clienti ne este de folos, iar in acest fel putem evalua si eficienta procesului de educare de care s-a amintit la prima intrebare.
