19

Weryfikacja behawioralna – Bank ING wprowadza wyższy poziom bezpieczeństwa przy logowaniu dla swoich klientów

Mnogość ataków phishingowych zmusza banki do prac nad zwiększeniem bezpieczeństwa swoich klientów podczas korzystania z bankowości internetowej czy mobilnej. Dostępne zabezpieczenia często na niewiele się zdają, więc sięgają po bardziej zaawansowane metody.

Bez wątpienia weryfikacja behawioralna to duży krok do przodu, bo eliminuje najczęstszy problem złamanych zabezpieczeń, a więc błąd człowieka.

Cyberprzestępcy mogą stosować różne techniki socjotechniczne, by zmusić ofiary do przekazania im danych do logowania, SMS-ów weryfikacyjnych czy powiadomień push, ale nigdy nie będą w stanie skorzystać z udostępnionego w ten sposób serwisu transakcyjnego banku, dokładnie w ten sam sposób jak ich ofiary.

Temu ma służyć weryfikacja behawioralna, którą udostępnił teraz do testów dla swoich klientów ING Bank Śląski. Na swoich stronach poinformował właśnie o ich rozpoczęciu dość skromnym komunikatem:

Pracujemy nad ciągłym udoskonalaniem standardów bezpieczeństwa bankowości internetowej i mobilnej. Wszystkich klientów już dziś zapraszamy do wzięcia udziału w projekcie nowej metody zabezpieczeń – weryfikacji behawioralnej. Dzięki temu, że będziemy mogli obserwować Twój sposób korzystania z Mojego ING, utworzymy Twój unikalny profil zachowań. W przyszłości – po wdrożeniu weryfikacji behawioralnej, wzmocni to ochronę Twojego konta. Na podstawie profilu będziemy mogli sprawdzić, czy to Ty logujesz się do bankowości i z niej korzystasz. Nie odczujesz tego, że będziemy analizować Twoje działania – wszystko będzie dziać się w tle.

Nie zdradza przy tym technicznych aspektów swojego rozwiązania, ale dzięki mBankowi, który testy weryfikacji behawioralnej rozpoczął rok temu i miałem przyjemność na własne oczy zobaczyć jak to działa.

Po wyrażeniu zgody przez uczestnika, w serwisie transakcyjnym mBanku uruchamiać się będzie specjalny kod. Zmierzy on typowe zachowania użytkownika w trakcie korzystania z bankowości on-line, oparte na: sposobie poruszania myszy, przycisku „scroll” oraz „touchpada”, dynamice korzystania z klawiatury komputera, a w przyszłości używaniu ekranu smartfona. Na tej podstawie zostanie zbudowany „obraz” użytkownika, czyli jego indywidualny profil behawioralny. System będzie identyfikować użytkowników, porównując ich bieżące interakcje z gotowym profilem.

Na potrzeby demonstracji tego rozwiązania, jeden z pracowników zalogował się na swoje konto, system rozpoznał go po sposobie wprowadzania danych do logowania, oznaczając to zielonym paskiem akceptacji.

W przypadku, gdy te same dane wpisywał dziennikarz, system rozpoznał od razu innego użytkownika i oznaczył to paskiem czerwonym. Jednak są też ataki, w których klient zmuszany jest do samodzielnego zalogowania się do bankowości elektronicznej, a przestępcy kradną tylko sesję i dokonują przelewów w serwisie. Taka aktywność również była wychwycona przez system podczas wpisywania danych do przelewu.

Jak system „uczy” się klienta? To już możemy przeczytać na stronach ING Banku Śląskiego. System analizuje to, jak korzystacie z klawiatury, a w szczególności jak szybko i często klikacie w poszczególne klawisze, jak poruszacie myszką czy szybko i często klikacie w poszczególne przyciski, jak przewijacie ekran, jak korzystacie z ekranu dotykowego czy jak trzymacie urządzenie.

Dla tych klientów, którzy obawiają się o utratę prywatności, bank pozostawia też informacje, że system nie zbiera żadnych wrażliwych danych, czyli nie wie jakie strony odwiedzacie, jakie dokładnie operacje wykonujecie, z jakich usług korzystacie oraz jakie hasła i teksty wpisujecie. W kilku słowach można to zamknąć w ten sposób – sprawdza nie co, ale jak to robicie.

Jak się zapisać do testów? Wystarczy zalogować się do Moje ING, przejść do zakładki Dane i ustawienia, gdzie wybieracie opcję Zgody i oświadczenia, po ich zaakceptowaniu zostaniecie dołączeni do testów. Z treścią tego oświadczenia możecie zapoznać się pod tym linkiem (pdf).

Źródło: ING Bank Śląski.