Wat is transactiecontrole?
Transactieverificatie beschermt consumenten tegen fraude door ervoor te zorgen dat er geen wijziging is aangebracht in een monetaire transactie terwijl deze wordt verwerkt. Een op internet gebaseerde beveiligingsmaatregel, transactie-verificatie is nuttig tegen Man-in-the-Middle-aanvallen. Bij deze aanvallen creëert een cybercrimineel een nepwebsite die effectief de communicatie tussen een consument en zijn bank, winkelier of creditcardmaatschappij afluistert. De crimineel is dus in staat om de persoonlijke informatie van de consument te verkrijgen en te gebruiken. Bij een Man-in-the-Middle-aanval weten noch de consument, noch de detailhandelaar dat een externe partij het gesprek bespioneert.
Een voorbeeld van een zeer krachtige Man-in-the-Middle-technologie was de Silent Banker-malware die in 2008 meer dan 400 bankwebsites over de hele wereld heeft geïnfecteerd. In dit geval was de malware een rootkit die werd geïmplementeerd voordat de antivirussoftware van de browser een kick kreeg Nadat de nietsvermoedende browser zijn authenticatiegegevens op de website van de bank had ingevoerd, werd de malware van de Silent Banker geactiveerd en veranderde de bestemming van de transactie in de bankrekening van de crimineel.
Veel websites en mobiele softwareprogramma's hebben out-of-band-technologie geïmplementeerd voor transactieverificatie. Vermoedelijk werkt deze methode omdat het de consument buiten de browser plaatst waarin de crimineel zou afluisteren. De consument zou de transactie verifiëren via een telefoontje of e-mail. Helaas is out-of-band-authenticatie nog steeds vatbaar voor Man-in-the-Middle-aanvallen, omdat die aanvallen valse websites gebruiken. Daarom zou de consument niet noodzakelijkerwijs zien dat er iets mis was met de site voordat de authenticatie werd verstrekt. Hij zou eigenlijk de crimineel kunnen bellen en hem zijn informatie per telefoon kunnen geven.
Andere websites hebben eenmalige codes gebruikt voor transactie-verificatie. Theoretisch zou alleen de consument de code kennen, dus wanneer hij die code op de website van de bank invoert, is de bank ervan verzekerd dat de consument is wie hij zegt dat hij is. Als het besturingssysteem van de consument is overgenomen door een malwareprogramma; hij is echter niet de enige die toegang heeft tot die code.
Hoewel er geen manier is om een consument volledig te beschermen tegen online fraude door transactieverificatie, zijn er een paar tips die de kans kunnen verkleinen dat een consument in een man-in-the-middle-val terechtkomt. Ten eerste moet de consument oppassen voor e-mails of sms-berichten die hem vanuit een onbekende bron worden toegestuurd. Die communicatie moet onmiddellijk worden verwijderd en er mogen geen links in die e-mails of sms-berichten worden geopend. Ten tweede, als de website plotseling van uiterlijk verandert, wees voorzichtig met het gebruik ervan. Het is misschien een lokmiddel van Man-in-the-Middle. Als verdachte activiteit aanhoudt, bel dan de organisatie die de website onderhoudt. Ten slotte moeten alle computergebruikers de huidige virus- en spywarebescherming en een firewall handhaven om de kans dat hun computer met succes wordt aangevallen te minimaliseren.