20.8.2018 10:12 | Bezpečnosť

Top Behaviorálna biometria: Keď vás weby špehujú pod zámienkou bezpečnosti

Organizácie neradi hovoria o monitorovaní používateľov svojich webov.
Organizácie neradi hovoria o monitorovaní používateľov svojich webov. Zdroj: iStock

Špeciálna technika odhalí podvodníkov s 99-percentnou presnosťou.

Niektoré veľké internetové portály, banky či iné významné inštitúcie môžu tajne sledovať používateľov na svojich internetových portáloch. Potvrdila to Kráľovská škótska banka. Verejne priznala, že monitoruje pohyby myšou, štýl písania či dokonca zhromažďuje dáta zo senzorov v smartfóne.

Na zaujímavú techniku upozornil portál 9to5Mac.

Štandardné prihlasovanie nestačí

Takéto sledovanie správania sa používateľov je používané ako dodatočné zabezpečenie. Používateľské účty vo všetkých internetových službách sú štandardne chránené prihlasovacím menom a heslom. Významné portály túto ochranu ešte zvýšili implementovaním takzvanej dvojfaktorovej autentifikácie (2FA). Spravidla ide o jednorazový kód, ktorý je náhodne vygenerovaný a doručený napríklad vo forme SMS správy.

Postupne sa však začínajú objavovať pokročilé útočné techniky, ktoré dokážu poraziť aj dvojfaktorovú autentifikáciu a získať neoprávnenú kontrolu nad účtom.

Štandardné prihlasovanie nestačí fotogaléria / 3
Štandardné prihlasovanie nestačí Zdroj: iStock

Azda najvážnejšie problémy predstavuje chyba v mobilných sieťach, konkrétne v protokole SS7. Výskumníci vďaka nej ovládli napríklad cudzí účet na Facebooku, či aplikácie WhatsApp a Telegram. Za zmienku stojí aj nová útočná schéma využívajúca kombináciu phishingu a MitM útoku.

Zbierajú tisíce parametrov

Internetoví giganti, banky či nadnárodní obchodníci preto neustále hľadajú spôsoby ako zvýšiť bezpečnosť používateľov. Podľa nedávnych zistení sa im to úspešne darí vďaka tajnému monitorovaniu. Spoločnosti ale o tejto technike neradi hovoria najmä kvôli potenciálnym problémom s ochranou osobných údajov.

Ilustračná snímka
Čítajte aj Peňaženka BitFi sa vraj nedá hacknúť. Za mesiac to ale zvládli dvakrát

Pre denník New York Times sa vyjadrila Kráľovská škótska banka (The Royal Bank of Scotland), ktorá poodkryla tajomstvo takzvanej behaviorálnej biometrie. Uvedený bezpečnostný prvok tu je realizovaný prostredníctvom softvéru od spoločnosti BioCatch, ktorý vraj dokáže odhaliť podvodníkov až s 99-percentnou presnosťou. Základom úspechu je pritom nenápadný zber tisícov najrôznejších parametrov.

Pri prístupe z počítača systém napríklad analyzuje rytmus stlačenia klávesov či spôsob, akým používateľ pohybuje myšou. Smartfóny však dokážu prezradiť oveľa viac vďaka mnohým integrovaným senzorom. Meria sa napríklad uhol, v akom používateľ drží zariadenie, ktoré prsty využíva na prehliadanie, sníma sa tlak ťuknutia, rýchlosť posúvania a mnoho iného.

Keď je chyba úmyslom

Pravdou je, že správanie používateľa nemusí byť vždy konštantné. Veľkú úlohu pritom zohráva napríklad stres, únava alebo jednoducho zaneprázdnenosť. Ak systém nedokáže presne určiť, či ide o záškodníka alebo o reálneho používateľa, tak jednoducho spôsobí vopred definovanú chybu – napríklad, že zmizne kurzor myši.

Ako sa pre New York Times vyjadril Frances Zelazny zo spoločnosti BioCatch, každý reaguje na tieto chyby trochu inak. Niektorí ľudia pohybujú myšou zo strany na stranu, iní hore a dole. Niektorí zas búchajú po klávesnici.

Keď je chyba úmyslom fotogaléria / 3
Keď je chyba úmyslom Zdroj: iStock

Aj vďaka týmto testom získa systém presnú charakteristiku používateľa, ktorá môže byť rovnako jedinečná ako odtlačok prstov či snímka tváre.

Špehovanie už zachránilo milióny

Kráľovská škótska banka uviedla aj nedávny prípad, ktorý demonštruje úspešnosť behaviorálnej biometrie v boji s útočníkmi. Jeden zo zákazníkov sa totiž prihlásil do svojho bankového účtu, pričom pri prehliadaní webu využíval koliesko na počítačovej myši. Skutočný majiteľ účtu to ale nikdy neurobil.

Následne sa podozrivá osoba pokúsila previesť miliónovú čiastku na isté číslo účtu, ktoré bolo zadané pomocou čísiel v hornej časti klávesnice. Skutočný majiteľ účtu však vždy využíval numerickú klávesnicu.

Čítajte aj Policajné telové kamery obsahujú mnoho bezpečnostných chýb

Toto správanie bolo vyhodnotené ako neoprávnené a prevod peňazí bol zablokovaný. Neskoršie vyšetrovanie odhalilo, že účet bol skutočne napadnutý.

Web vás nemusí upozorniť

Diskutabilný je však spôsob, akým rôzne weby techniky behaviorálnej biometrie aplikujú a s tým spojená ochrana osobných údajov. Spoločnosti totiž využívajú tieto systémy bez akéhokoľvek upozornenia. Dokonca aj nové európske nariadenie GDPR počíta s výnimkou pre bezpečnosť a predchádzanie podvodom. Znamená to, že je úplne legálne, ak web neupozorňuje na využívanie behaviorálnej biometrie.

Istú predstavu o rozsahu využívania tejto technológie nepriamo načrtol Frances Zelazny. Vo svojom vyhlásení uviedol, že BioCatch aktuálne obsahuje približne 70-miliónov profilov, pričom monitoruje 6 miliárd bankových transakcií mesačne. Navyše, konkurenčná spoločnosť Forter (tiež sa zaoberá vývojom softvéru pre behaviorálnu biometriu) má databázu obsahujúcu záznamy o 175 miliónoch ľuďoch z viac ako 180 krajín sveta.


Zaujíma vás bezpečnosť počítačov či mobilov? Príďte 21. septembra na HackerFest v Bratislave. Živé.sk je hlavným mediálnym partnerom podujatia.


Potenciálne riziko predstavuje zneužitie takto získaných údajov. Ako príklad sa uvádza odhalenie chvejúcich sa rúk. Môže to byť predzvesťou vážnych zdravotných problémov či dôsledok konzumácie alkoholu. Poisťovňa by následne na základe toho mohla zvýšiť poistné.

Pravdou je, že ide o zaujímavý bezpečnostný prvok, pokiaľ sa však nedostane do „nesprávnych“ rúk.

Diskusia 28 Príspevkov