Co to jest weryfikacja transakcji?
Weryfikacja transakcji chroni konsumentów przed oszustwami, upewniając się, że podczas dokonywania transakcji pieniężnej nie wprowadzono żadnych zmian. Internetowa metoda bezpieczeństwa, weryfikacja transakcji jest pomocna w przypadku ataków typu Man-in-the-Middle. Podczas tych ataków cyberprzestępca tworzy fałszywą stronę internetową, która skutecznie podsłuchuje komunikację między konsumentem a jego bankiem, sprzedawcą lub wystawcą karty kredytowej. Przestępca może zatem uzyskać dane osobowe konsumenta i je wykorzystać. W ataku Man-in-the-Middle ani konsument, ani detalista nie wiedzą, że rozmówca szpieguje rozmowę.
Jednym z przykładów bardzo skutecznej technologii Man-in-the-Middle było złośliwe oprogramowanie Silent Banker, które w 2008 roku zainfekowało ponad 400 witryn bankowych na całym świecie. W tym przypadku szkodliwe oprogramowanie było rootkitem, który został wdrożony przed uruchomieniem oprogramowania antywirusowego przeglądarki in. Po tym, jak niczego niepodejrzewająca przeglądarka podała swoje dane uwierzytelniające na stronie internetowej banku, złośliwe oprogramowanie Silent Banker aktywowało się, zmieniając miejsce docelowe transakcji na konto bankowe przestępcy.
Wiele stron internetowych i programów mobilnych wdrożyło technologię pozapasmową do weryfikacji transakcji. Podobno ta metoda działa, ponieważ zabiera konsumenta poza przeglądarkę, w której przestępca podsłuchiwałby. Konsument zweryfikowałby transakcję przez telefon lub e-mail. Niestety uwierzytelnianie pozapasmowe jest nadal podatne na ataki typu Man-in-the-Middle, ponieważ ataki te wykorzystują fałszywe strony internetowe. Dlatego konsument niekoniecznie zobaczy, że coś jest nie tak z witryną przed uwierzytelnieniem. Może zadzwonić do przestępcy i przekazać mu informacje przez telefon.
Inne strony wykorzystały kody jednorazowe do weryfikacji transakcji. Teoretycznie tylko konsument zna kod, więc kiedy wprowadza ten kod na stronie internetowej banku, bank ma pewność, że konsument jest tym, za kogo się podaje. Jeśli system operacyjny konsumenta został przejęty przez złośliwe oprogramowanie; nie jest on jednak jedyną osobą, która ma dostęp do tego kodu.
Chociaż nie ma sposobu, aby całkowicie chronić konsumenta przed oszustwem internetowym poprzez weryfikację transakcji, istnieje kilka wskazówek, które mogą zmniejszyć prawdopodobieństwo, że konsument wpadnie w pułapkę Man-in-the-Middle. Po pierwsze, konsument powinien wystrzegać się wszelkich wiadomości e-mail lub SMS-ów wysyłanych do niego z nieznanego źródła. Wiadomości te należy natychmiast usunąć i nie należy otwierać żadnych łączy w tych wiadomościach e-mail lub SMS-ach. Po drugie, jeśli strona nagle zmienia wygląd, bądź ostrożny z jej użyciem. To może być strona wabika Man-in-the-Middle. Jeśli podejrzane działania będą nadal występować, zadzwoń do organizacji, która utrzymuje witrynę. Wszyscy użytkownicy komputerów powinni zachować aktualną ochronę przed wirusami i programami szpiegującymi, a także zaporę ogniową, aby zminimalizować prawdopodobieństwo pomyślnego zaatakowania ich komputera.