Onderzoekers hebben een nieuw systeem ontwikkeld om veilig te kunnen internetbankieren, waardoor het risico dat een Trojaans paard de rekening leegt tot het verleden behoort. De beveiligingsoplossing is ontwikkeld door een 'spin-off' van de Cambridge Universiteit en één van de grootste Duitse banken en moet Man-in-the-Browser-aanvallen voorkomen.
Hierbij nestelt een banking Trojan zich in de browser of op de computer en manipuleert vervolgens de informatie die de gebruiker te zien krijgt of naar de bank gestuurd wordt. De door Cronto ontwikkelde oplossing gebruikt een 'visueel kanaal' om de gegevens veilig van de bank naar de klant te sturen.
Barcode
Het zorgt ervoor dat de bank een patroon van gekleurde stippen kan genereren, een zelfontwikkelde tweedimensionale barcode, die de gegevens bevat die de bank naar de klant wil sturen. Vervolgens wordt de barcode door de klant ontsleuteld middels een mobiele applicatie of een apart apparaat.
De technologie fungeert als een beveiligde 'envelop' om de gegevens, zodat het in een willekeurige omgeving en via een onbeveiligd kanaal aan de klant getoond kan worden. De malware op het systeem kan de afbeelding van de bank wel zien, maar kan de beveiligde inhoud niet wijzigen.
Malware
“Man-in-the-Browser-aanvallen in combinatie met social engineering technieken zijn grootste en actiefste dreiging voor internetbankieren", zegt Elena Punskaya, medeoprichter en CTO van Cronto. Volgens haar is het belangrijk dat bij internetbankieren er meer wordt geïdentificeerd dan alleen de klant.
"Dat is niet voldoende", laat ze weten. "Om de complexiteit van Trojaanse paarden te bestrijden, moet de bank ook de actie verifieren die de klant probeert uit te voeren, of het nu om de aankoop, een transactie of een adreswijziging is."
Transactie
De 2D-barcode die het team ontwikkelde laat banken een bericht van meer dan 100 karakters versturen, dat door de Cronto-applicatie of hardware in een fractie van seconden wordt gedecodeerd. De klant krijgt dan een bericht van de bank te zien, dat meestal vraagt om de actie die de klant wil uitvoeren te bevestigen en laat tevens opvallende eigenschappen van de transactie zien.
Om de transactie te bevestigen gebruikt de klant een zescijferige code, die de app of de hardware genereert. Deze code fungeert als de 'handtekening' van de klant en bevestigt de transactie.
Deze posting is gelocked. Reageren is niet meer mogelijk.