ز کار اوفتاد ویندوز ان‌تی  ،  این منم، پرده آبی مرگ  ،  کسی نشنود صدایت را  -  پیتر روتمن (Peter Rothman, 1998 )
با رمز عبور کامپیوترتان مثل مسواک برخورد کنید. هیچ‌وقت آن را به کسی ندهید و هر شش ماه یک بار عوضش کنید.  -  کلیفورد استرول (Clifford Stoll)
علم هیچ‌گاه گمانه‌زن نیست؛ بلکه نظریه را به کار می‌گیرد تا نقطه‌ای برای جستجو نشان دهد، اما هیچ‌گاه نظریه‌ای را به مثابه یک گزاره اثبات‌شده نمی‌پذیرد.     کلیولند ابی (Cleveland Abbe)
آدم‌ها به 10 گروه تقسیم می‌شوند: آن‌هایی که مبنای دودویی را می‌شناسند و آن‌هایی که نمی‌شناسند!  -  ناشناس
بسیاری از متفکران بر این باورند که دنیای ما بر اثر یک حادثه ویران خواهد شد. این جا است که نقش ما مشخص می‌شود. ماییم که متخصص کامپیوتریم. ماییم که حادثه می‌آفرینیم!   -   ناتانیل بورنشتاین (Nathaniel Borenstein)
اگر می‌خواهی با یک کامپیوتر جایگزین نشوی، مثل یک کامپیوتر عمل نکن!  -  ارنو پنزیاس (Arno Penzias)
اهمیت توانایی درک یا تفکر به‌گونه‌ای دیگر، از دانشی که از این راه کسب می‌شود، بیشتر است.            دیوید بوهم (David Bohm)
هنوز اثبات نشده است که هوشمندی ارزش زنده ماندن را دارد. -  آرتور سی. کلارک (Arthur C. Clarke)
کامپیوترم مرا در شطرنج شکست داد، ولی در مشت و لگد حریفم نشد!  -  اوم فیلیپس
هر ایده انقلابی‌ای سه مرحله از واکنش را طی می‌کند: 1) غیرممکن است!   2) ممکن است. اما ارزشش را ندارد.   3) از اول هم می‌گفتم که ایده خیلی خوبی است!   -  آرتور سی. کلارک (Arthur C. Clarke)

خطای انسانی و آسیب‌پذیری بانک‌داری الکترونیک

یکشنبه, 09 اسفند 1388 ساعت 16:59

مترجم: محمد حاج‌زمان

جدیدترین مطالعه دانشگاه صنعتی کویینزلند نشان می‌دهد استفاده از سامانه پیام کوتاه برای ارسال رمز عبور به مشتری که به عنوان اقدام امنیتی تکمیلی بانکداری الکترونیک تعریف شده است، عملا نمی‌تواند ضمانتی بر حفاظت از سپرده مشتری باشد. هم‌چنین این مطالعه روشن ساخت مشتریان سامانه‌های برخط به‌درستی از حساب‌های خود محافظت نمی‌کنند.

human-error-puts-online-banking-security-at-riskبنا به گفته محمد الزمیع (Mohammed AlZomai) از موسسه امنیت اطلاعات دانشگاه صنعتی کویینزلند، با وجود به کار بستن روش‌های ‌امنیتی تکمیلی، همانند تطابق رمز عبور وارد شده با رمز عبور ارسال شده به صورت پیام کوتاه، یک پنجم تراکنش‌های برخط در برابر حملات آشکار آسیب‌پذیر نشان داده‌اند.

بنا بر گفته وی، این مطالعه نشان داد تهدیدات امنیتی بیشتر از آن که ناشی از مشکلات فنی‌امنیتی باشد، از قابلیت‌های نهفته در سامانه‌های پیام کوتاه در کنار خطای انسانی بهره می‌برد.

الزمیع می‌افزاید: «در واکنش به تهدیدات فزاینده‌ای که بانکداری الکترونیک با آن روبه‌رو است، اغلب بانک‌ها روش‌های ‌امنیتی ویژه‌ای را برای تایید تراکنش‌ها به کار بسته‌اند. یک روش معمول، استفاده از سامانه پیام کوتاه برای ارسال رمز عبور یک بار مصرف است که برای هر مرتبه تراکنش، رمز عبور جدیدی را به تلفن همراه مشتری می‌فرستد. به منظور تایید تراکنش برخط، مشتری بایستی رمز عبور ارسال شده را به صورت دستی به سامانه وارد کند.»

با این وجود طبق گفته الزمیع، اگر شماره حساب بانکی ذکر شده در پیام کوتاه با شماره حساب مورد نظر فرد تطابق نداشته باشد، بسیاری از مشتریان متوجه موضوع نمی‌شوند. چنین امری نشانه روشنی بر نفوذ هکرها به سیستم به شمار می‌رود.

در بخشی از این مطالعه، دانشگاه صنعتی کویینزلند با شبیه‌سازی یک سامانه بانکداری الکترونیک، از شرکت‌کنندگان درخواست کرد به عنوان مشتری این سامانه، تراکنش‌هایی را انجام دهند و با استفاده از کد دست‌رسی ارسال شده به شکل پیام کوتاه آن را تایید کنند.

دو نوع حمله در این شبیه‌سازی برنامه‌ریزی شده بود. در حمله نوع اول، پنج عدد یا بیشتر از اعداد شماره حساب بانکی مشتری تغییر یافته و در حمله مخفیانه‌تر، تنها یک رقم از شماره حساب را تغییر داده بودند. نتایج مطالعه نشان داد 21 درصد از موارد حمله آشکار موفقیت‌آمیز بوده است، در حالی که این رقم برای حمله نوع دوم به 61 درصد می‌رسید.

این مطالعه نشان داد تعداد قابل توجهی از کاربران حمله هکرها به سامانه را تشخیص نداده‌اند؛ امری که به گفته الزمیع، ثابت می‌کند روش تایید تراکنش با استفاده از پیام کوتاه، به‌شدت آسیب‌پذیر است.

بر اساس مطالعات دانشگاه کویینزلند، تنها 79 درصد کاربران قادر به تشخیص حملات واقعی هستند که به لحاظ سطح امنیتی به هیچ عنوان در بانکداری الکترونیک قابل قبول نیست.

الزمیع در پایان اشاره داشت نه تنها این مطالعه اهمیت هوشیاری مشتریان را به هنگام انجام عملیات بانکی به صورت برخط بیش از پیش برجسته می‌سازد، بر اهمیت میزان تعهد بانک نسبت به مشتریان نیز تأکید دارد. باید امیدوار باشیم این مطالعه، بانک‌های الکترونیک و دیگر ارایه دهندگان خدمات برخط را ملزم کند تا آمادگی بالاتری را برای مواجهه با خطرات پیش رو کسب کنند.

برچسب‌ها:

مقالات مرتبط

< قبلی   بعدی >

شماره 04