09.08.2005

Взаимная аутентификация

Computerworld, №28/2005, Валерий Коржов

Фишинг (phishing) — один из опасных способов мошенничества в Сети, в результате которого жертва может потерять значительные средства. В частности, от него страдают клиенты банковских институтов. К примеру, злоумышленник на своем сервере полностью дублирует Web-интерфейс какого-либо финансового учреждения и посредством рассылки электронных писем заманивает на него посетителей. Если посетитель передаст подобному сайту-ловушке свою идентификационную информацию, то в дальнейшем создатели сайта смогут совершать финансовые транзакции от его имени.

Защититься от фишинга можно только взаимной аутентификацией банка и клиента, а также шифрованием сообщений. С недавнего времени компании Banks Soft Systems, "Сигнал-Ком" и Aladdin предлагают совместное решение по организации дистанционного банковского обслуживания. BSS предоставляет собственно систему дистанционного банковского обслуживания "ДБО BS-Client", "Сигнал-Ком" — средства шифрования по протоколу SSL и аутентификации в соответствии с законом "Об ЭЦП", а Aladdin — USB-ключи для хранения идентификационной информации. Совместная работа этих продуктов защищает клиентов от фишинга, а поскольку выполнены они в соответствии с законом "Об ЭЦП", то совершенные транзакции имеют юридическую силу.

Такое решение подходит для корпоративных банковских клиентов, но частным пользователям оказывается не по карману. По оценкам некоторых специалистов, частные клиенты за защиту от фишинга вряд ли готовы платить дороже 20 долл. Между тем наиболее удобный для Internet-обслуживания USB-ключ eToken NG-OTP стоит около 60 долл.