Αρχή » ΑρθρογραφίαΠροστασία από απάτες με πιστωτικές κάρτεςΑσφάλεια - 17/09/2005Το Μεσαίωνα, το Ιπποτικό Τάγμα των Ναϊτών επινόησε ένα σύστημα το οποίο επέτρεπε στους προσκυνητές να ταξιδεύουν στους Άγιους Τόπους χωρίς να είναι υποχρεωμένοι να έχουν μαζί τους ‘πραγματικό’ χρήμα. Το σύστημα αυτό θα μπορούσε να χαρακτηριστεί σαν πρόδρομος των πιστωτικών καρτών που όλοι έχουμε σήμερα. Προφανώς δεν εφεύραν τις πλαστικές κάρτες με τις μαγνητικές ταινίες που ξέρουμε σήμερα, αλλά χρησιμοποιούσαν ένα έγγραφο το οποίο έδινε στους προσκυνητές τη δυνατότητα να πραγματοποιούν το ισοδύναμο της ανάληψης χρημάτων σε διαφορετικούς τόπους από αυτούς στους οποίους τα είχαν καταθέσει. Για εκείνες τις εποχές, ήταν μία σημαντική καινοτομία. Σήμερα, η φιλοσοφία στην οποία βασίζονται οι πιστωτικές κάρτες είναι περίπου ίδια. Μπορούμε να πάμε οπουδήποτε θέλουμε - ακόμη και στο σούπερ-μάρκετ της γειτονιάς μας - χωρίς να κουβαλάμε μετρητά. Το "έγγραφο" που χρησιμοποιούμε εμείς - η κάρτα - πιστοποιεί στον εμπορικό οργανισμό με τον οποίο συναλλασσόμαστε ότι έχουμε πίστωση (π.χ. από την τράπεζα) έως ένα συγκεκριμένο ποσό, και μέσω αυτής μπορεί να γίνει η συναλλαγή. Όπως και στο σύστημα των Ναϊτών, ο κάτοχος της κάρτας πρέπει να αποδεικνύει την ταυτότητά του. Σήμερα, η ταυτοποίηση είναι μία πολύπλοκη διαδικασία (ανόμοια με το απλό δαχτυλίδι που χρησιμοποιούσαν οι Ναϊτες), και αυτό αντιπροσωπεύει ένα σημαντικό πρόβλημα για τους χρήστες πιστωτικών καρτών: δεν γνωρίζουν, ή δεν κατανοούν, τη σπουδαιότητα της πιστοποίησης της ταυτότητας κατά την χρήση πιστωτικών καρτών. Υπάρχουν αρκετά συστήματα ασφάλειας για τις πιστωτικές κάρτες, τα οποία δεν γνωρίζουν οι χρήστες. Το ευρύτερα χρησιμοποιούμενο συνίσταται στην χρήση τριών σετ αριθμών οι οποίοι πρέπει να κρατούνται μυστικοί (συγκεκριμένα, το PIN). Όπως πάντα, η απόλυτη ασφάλεια είναι ανέφικτη. Ανεξάρτητα από το σύστημα ασφάλειας που χρησιμοποιείται, υπάρχει πάντα η πιθανότητα κάποιος να "κλωνοποιήσει" την κάρτα σας χρησιμοποιώντας κάποια συσκευή ανάγνωσης της μαγνητικής ταινίας, ή πολυπλοκότερες μεθόδους, οι οποίες αντιπροσωπεύουν και μεγαλύτερους κινδύνους. Εξ αυτών, οι μέθοδοι που σχετίζονται με τη μαζική χρήση καρτών μέσω του Internet είναι σήμερα αυτές που κοστίζουν πιο "ακριβά" στους χρήστες. Κάθε φορά που εισάγετε τον κωδικό ταυτοποίησής σας στο Internet ο κωδικός ταξιδεύει μέσω του Διαδικτύου στον προορισμό του, και κατά τη διάρκεια αυτού του "ταξιδιού" μπορεί να υποκλαπεί από άτομα τα οποία, προφανώς, δεν έχουν αγαθές προθέσεις. Υπάρχουν αρκετές τεχνικές με τις οποίες μπορεί να γίνει αυτό: - Ο "ενδιάμεσος" (man-in-the-middle). Αυτή η τεχνική επιτρέπει την υποκλοπή της επικοινωνίας μεταξύ του χρήστη και του πραγματικού website για το οποίο προορίζεται. Ουσιαστικά, ο κλέφτης παρεμβάλλεται κάπου ενδιάμεσα, και πιθανώς ακροάζεται όλη την επικοινωνία που διαμείβεται μεταξύ των δύο σημείων. Για να είναι επιτυχής μία τέτοια επίθεση, το θύμα πρέπει να ανακατευθυνθεί με κάποιο τρόπο στο ενδιάμεσο σύστημα του επιτιθέμενου, αντί για τον πραγματικό server που θέλει να προσπελάσει. Υπάρχουν αρκετές μέθοδοι με τις οποίες μπορεί να γίνει αυτό, όπως π.χ. η χρήση "αφανών" ενδιάμεσων συστημάτων (transparent proxies), η αλλοίωση του DNS cache και η παραποίηση διευθύνσεων URL. - Κώδικας που εκμεταλλεύεται τα προβλήματα ασφάλειας τα οποία αναφέρονται συλλογικά σαν "Cross-Site ing". Η τεχνική αυτή επιτρέπει την απομίμηση της ασφαλούς ιστοσελίδας της τράπεζας με τέτοιο τρόπο, ώστε οι χρήστες να μην έχουν τη δυνατότητα να εντοπίσουν οποιεσδήποτε ανωμαλίες είτε στη διεύθυνση, είτε στο πιστοποιητικό ασφάλειας που εμφανίζεται στην εφαρμογή browser που χρησιμοποιούν. - Κώδικας που εκμεταλλεύεται προβλήματα ασφάλειας των εφαρμογών browser, τα οποία επιτρέπουν την παραποίηση της διεύθυνσης που εμφανίζεται στην εφαρμογή browser. Αυτό σημαίνει ότι η εφαρμογή browser μπορεί να ανακατευθυνθεί σ ένα πλαστό website, αν και συνεχίζει να εμφανίζει τη διεύθυνση URL του αυθεντικού, έμπιστου site. Η τεχνική αυτή επιτρέπει επίσης την απομίμηση των παραθύρων διαλόγου που εμφανίζει το αυθεντικό website. - Ορισμένες επιθέσεις αυτού του είδους χρησιμοποιούν επίσης ρουτίνες κώδικα από websites ειδικά δημιουργημένα για την υποβοήθηση παράνομων δραστηριοτήτων. Οι ρουτίνες αυτές εκμεταλλεύονται προβλήματα ασφάλειας για να μεταφέρουν σε υπολογιστές Δούρειους Ίππους με δυνατότητα καταγραφής πληκτρολογήσεων, οι οποίοι υποκλέπτουν εμπιστευτικά δεδομένα των χρηστών. - Μία άλλη, πιο προχωρημένη τεχνική είναι το αποκαλούμενο "Pharming". Συνίσταται στην αλλαγή των πληροφοριών DNS είτε μέσω ρυθμίσεων του πρωτοκόλλου TCP/IP, είτε μέσω του αρχείου lmhost (το οποίο λειτουργεί σαν DNS cache στο τοπικό σύστημα και περιέχει ονόματα διάφορων servers), για την ανακατεύθυνση των εφαρμογών browser σε πλαστές ιστοσελίδες όταν οι χρήστες επιχειρούν να προσπελάσουν τις αυθεντικές ιστοσελίδες μέσω της εφαρμογής browser. Επιπλέον, εάν το θύμα της επίθεσης "pharming" χρησιμοποιεί σύνδεση μέσω proxy για λόγους ανωνυμίας, μπορεί να επηρεαστεί η διαδικασία ανάλυσης ονομάτων DNS στον proxy server έτσι ώστε όλοι οι χρήστες να κατευθύνονται στον πλαστό αντί για τον αυθεντικό server. Βέβαια, όλα αυτά τα συστήματα κλοπής δεδομένων απαιτούν σημαντικά υψηλό επίπεδο γνώσεων στον προγραμματισμό, τις οποίες λίγοι μόνο κατέχουν. Για τον λόγο αυτό, ορισμένοι καταφεύγουν σ έναν απλούστερο τρόπο κλοπής στοιχείων πιστωτικών καρτών, ο οποίος δεν βασίζεται σε προχωρημένο προγραμματισμό αλλά στο ξεγέλασμα των χρηστών - μία τεχνική η οποία είναι ευρέως γνωστή με το όνομα "phishing" ("ψάρεμα" των χρηστών!). Η τεχνική αυτή συνίσταται στην αποστολή μηνυμάτων email τα οποία δείχνουν σα να προέρχονται από απόλυτα αξιόπιστες πηγές (π.χ. τράπεζες), αλλά είναι ειδικά σχεδιασμένα ώστε να αποκτούν εμπιστευτικά δεδομένα του χρήστη. Για να το επιτύχουν, περιλαμβάνουν συνήθως συνδέσεις προς πλαστές ιστοσελίδες. Πιστεύοντας ότι βρίσκονται σ ένα έμπιστο site, οι χρήστες εισάγουν οποιεσδήποτε πληροφορίες τους ζητούνται, και αυτές πάνε κατευθείαν στα χέρια αυτών που έστησαν την απάτη. Αν και το σκηνικό δείχνει ανησυχητικό, η τεχνολογία ασφάλειας έχει εξελιχθεί σε σημαντικό βαθμό ώστε να αποτρέπει την υποκλοπή εμπιστευτικών πληροφοριών από υπολογιστές. Ακριβώς όπως μπορούν να αποτρέπονται οι μολύνσεις των υπολογιστών από ιούς με τον έλεγχο όλων των εισερχόμενων πληροφοριών, ο έλεγχος των εξερχόμενων πληροφοριών μπορεί να αποτρέψει τους χρήστες να κάνουν λάθη τα οποία πιθανώς να τους κοστίσουν ακριβά. Η κλοπή προσωπικών πληροφοριών από έναν υπολογιστή, η οποία είναι εξαιρετικά επικίνδυνη όταν αφορά σε τραπεζικά στοιχεία, μπορεί να αποφευχθεί. Εάν οι χρήστες εγκαταστήσουν στους υπολογιστές τους έξυπνες και αποτελεσματικές λύσεις ασφάλειας, κανένας μυστικός κωδικός τους δεν θα πέσει στα χέρια ατόμων με κακούς σκοπούς. Έτσι, το μόνο που θα χρειάζεται να κάνετε εσείς είναι να φυλάτε τις κάρτες σας σε μία ασφαλή θέση - αυτό είναι σίγουρα κάτι το οποίο δεν μπορεί να κάνει για εσάς καμία τεχνολογία, όσο προηγμένη κι αν είναι. Για περισσότερες πληροφορίες σχετικά μ αυτές και άλλες απειλές των υπολογιστών, επισκεφτείτε την Εγκυκλοπαίδεια της Panda Software.
|