IBM tìm cách bảo mật Internet Banking bằng USB Stick

Phòng thí nghiệm nghiên cứu Zurich của IBM đã phát triển một thanh USB mà công ty nói có thể đảm bảo giao dịch ngân hàng an toàn ngay cả khi PC bị thủng phần mềm độc hại.

Nguyên mẫu của thiết bị, được gọi là ZTIC (Zone Trusted Information Channel), được trưng bày lần đầu tiên tại triển lãm thương mại Cebit tuần này. IBM hy vọng sẽ lôi kéo các ngân hàng mua nó cho ngân hàng trực tuyến, giúp tiết kiệm tiền của ngân hàng cho chi phí nhân sự nhưng liên tục bị bao vây bởi tin tặc.

Khi được cắm vào máy tính, ZTIC được cấu hình để mở kết nối SSL (Lớp cổng bảo mật) an toàn Michael Baentsch, giám đốc sản phẩm của BlueZ Business Computing tại phòng thí nghiệm Zurich.

[Đọc thêm: Cách xóa phần mềm độc hại khỏi PC Windows]

ZTIC cũng là một đầu đọc thẻ thông minh và có thể chấp nhận thẻ ngân hàng của một người để xác minh. Khi mã PIN (số nhận dạng cá nhân) được xác minh, giao dịch có thể được khởi tạo thông qua trình duyệt Web.

Trình duyệt web, tuy nhiên, là điểm yếu của ngân hàng trực tuyến vì những cuộc gọi trung gian

Tin tặc đã tạo ra các chương trình phần mềm độc hại hơn có thể sửa đổi dữ liệu khi nó được gửi đến máy chủ Web của ngân hàng nhưng sau đó hiển thị thông tin mà người tiêu dùng dự định trong trình duyệt. Kết quả là tài khoản ngân hàng của một người có thể bị làm trống. Các cuộc tấn công trung gian cũng có hiệu quả ngay cả khi khách hàng của ngân hàng đang sử dụng trình tạo mật khẩu một lần.

ZTIC, tuy nhiên, bỏ qua trình duyệt và chuyển trực tiếp đến ngân hàng. Nó đảm bảo rằng các dữ liệu trao đổi là chính xác.

Ví dụ, nói rằng một khách hàng ngân hàng muốn chuyển tiền. Khách hàng sẽ nhập 100 đô la Mỹ vào một biểu mẫu trong trình duyệt. Các máy chủ của ngân hàng sau đó sẽ cố gắng xác nhận số tiền. Trong cuộc tấn công trung gian, kẻ tấn công có khả năng chuyển 1.000 đô la nhưng có thể sửa đổi thông báo xác nhận vẫn hiển thị 100 đô la.

Vì nó có kết nối an toàn trực tiếp với máy chủ của ngân hàng, ZTIC sẽ hiển thị số tiền thực sự đã được yêu cầu gửi đi. Vì vậy, ngay cả khi trình duyệt hiển thị một xác nhận cho $ 100, ZTIC sẽ hiển thị $ 1.000, cho thấy một cuộc tấn công man-in-the-middle đang tiến hành, Baentsch nói. Người dùng sẽ biết từ chối giao dịch và nhấn nút "x" màu đỏ trên ZTIC.

"Nếu phần mềm độc hại tấn công giao dịch ngân hàng trực tuyến của bạn, nó sẽ cho bạn thấy điều gì đó lạ đã xảy ra", Baentsch nói. đã dành rất nhiều nỗ lực để tìm cách bắt đầu một phiên SSL trong một thanh USB, Baentsch nói.

ZTIC sử dụng chip từ ARM thiết kế vi xử lý, và phần mềm đã được thiết kế để nó có thể nhanh chóng thiết lập một bộ xử lý. Phiên SSL, Baentsch nói. Mặc dù nó là một thanh bộ nhớ, nhưng không có dữ liệu nào có thể được lưu trữ trên nó, nó cũng ngăn chặn phần mềm độc hại lây nhiễm.

Sử dụng ZTIC cũng sẽ ngăn chặn các cuộc tấn công lừa đảo, nơi một trang web lừa đảo cố gắng lấy chi tiết nhạy cảm từ người dùng Các cuộc tấn công dược phẩm, nơi mà các thiết lập DNS (Hệ thống tên miền) đã bị giả mạo, Baentsch nói. ZTIC kiểm tra để đảm bảo rằng trang Web có chứng chỉ bảo mật hợp lệ.

IBM có các số liệu nội bộ về chi phí của ZTIC cho các ngân hàng, nhưng Baentsch không tiết lộ chúng, nói rằng nó sẽ phụ thuộc vào các thông số thiết kế cuối cùng của ZTIC và các yếu tố khác.