הירשמו
  1. ראשי
  2. בארץ

סקר: צריך למצוא תחליף לשם והסיסמא באינטרנט

סקר בינלאומי של EMC על בנקאות מקוונת מגלה כי 91% מבעלי החשבונות מוכים להתחיל להשתמש בכלי זיהוי אחר במקום מילוי הפרטים באתר הבנק
שי פאוזנר |

RSA, חטיבת האבטחה של EMC, פרסמה את ממצאי הסקר השנתי הרביעי שלה בנושא הונאות בנקאות מקוונות. הסקר המקוון נערך בדצמבר 2006 והשתתפו בו 1,678 מבוגרים משמונה מדינות ברחבי העולם. הם נשאלו על דעותיהם באשר לאיומי הונאה ותרמיות מסוג פישינג, וישינג (מתקפות הנעזרות במענה קולי) ו-keylogging (הקלטה סמויה של פעולות המשתמש), ועל מאמציהם של מוסדות פיננסיים לשפר את שיטות הזיהוי בפעילויות בנקאות מרחוק.

בין התוצאות העיקריות של הסקר מתגלה, כי 91% מבעלי החשבונות ענו שהם מוכנים להתחיל להשתמש בשיטת זיהוי חדשה, מחמירה יותר משיטת "שם משתמש וסיסמה", אם הבנקים שלהם יחליטו להציע אבטחה קפדנית יותר. עוד עולה ממנו, כי 73% דיווחו שהיו רוצים שהמוסד הבנקאי שלהם ישתמש בזיהוי מבוסס סיכונים.

69% מהנשאלים סבורים, כי המוסדות הפיננסיים צריכים להחליף את שיטת ה"שם משתמש וסיסמה" בשיטת זיהוי מחמירה יותר עבור פעולות בנקאות מקוונות. 58% מהם מאמינים שהמוסדות הפיננסיים צריכים להשתמש בזיהוי מחמיר יותר עבור בנקאות באמצעות הטלפון. 82% מהם היו מעוניינים שהבנקים שלהם יפקחו על פעולות בנקאות מקוונות וטלפוניות ויחפשו אחר סימנים לפעילויות או להתנהגויות חריגות – בדומה לאופן שבו מפקחים היום על פעולות בכרטיסי אשראי.

מוסדות פיננסיים רבים התחילו כבר את המעבר לשיטות זיהוי מחמירות יותר במהלך השנה האחרונה, אך רק 39% מבעלי החשבונות מודעים לכך. פחות מ-70% מהמשיבים בבריטניה (69%) ובאוסטרליה (65%) טענו שהם מכירים את המונח "פישינג", לעומת 83% מהמשיבים בארה"ב.

בנוסף, האמון בערוץ המקוון ממשיך לצנוח. 82% מבעלי החשבונות אמרו כי הסבירות שישיבו להודעות דואר אלקטרוני מהבנק שלהם היא נמוכה ביותר, בגלל תרמיות מסוג פישינג – זאת בהשוואה ל-79% ב-2005 ול-70% ב-2004 – ויותר ממחציתם אמרו שהסבירות שיירשמו לשירותי בנקאות מקוונת או ישתמשו בהם היא נמוכה ביותר, מאותה סיבה. בנוסף, 44% מבעלי

החשבונות דיווחו שבמהלך השישה חודשים האחרונים גבר החשש שלהם מסוגים נוספים של תקיפות (מלבד פישינג), כמו סוסים טרויאנים ו-keyloggers.

"2006 הייתה שנה עתירת אירועים עבור מוסדות פיננסיים במונחים של שיפור האבטחה בפעילות בנקאית מקוונת. הסקר שלנו מוכיח שהשוק נע בכיוון הנכון, עם יותר מ-90% מהלקוחות שמוכנים להשתמש באבטחה מחמירה יותר כשזו תיפרס, וזה משהו שהבנקים ייקחו בחשבון כשיחליטו להרחיב את העסקים שלהם", אמר כריסטופר יאנג, סגן נשיא ומנכ"ל הפתרונות הצרכניים ב-RSA.

"אנו צופים ש-2007 תביא עמה אמצעים חדשים לאבטחת הבנקאות המקוונת, גם אם זה קורה בנוף שבו האיומים המתפתחים מניעים את הצורך בהגנה נוספת בערוצים מרוחקים אחרים – עם התמקדות בבנקאות באמצעות הטלפון".

בעלי חשבונות רוצים זיהוי מחמיר יותר

כאשר נשאלו על דעותיהם באשר לזיהוי משתמשים בפעילויות בנקאות מקוונות, 69% מהמשיבים אמרו כי הם חשים שהבנקים צריכים להשתמש באמצעים מחמירים יותר מהשיטה הבסיסית והישנה של שם משתמש וסיסמה; יותר ממחצית (58%) רוצים שהבנקים ישפרו את שיטות הזיהוי גם בבנקאות באמצעות הטלפון. יתרה מזו, 91% מבעלי החשבונות דיווחו כי יהיו מוכנים להתחיל להשתמש בשיטת זיהוי חדשה, מחמירה יותר מהשיטה הסטנדרטית של שם משתמש וסיסמה, אם הבנק שלהם יחליט להציע אבטחה קפדנית יותר; 43% אמרו שבמצב כזה תהיה להם נכונות גבוהה להירשם לשירות ואף יעשו זאת מיוזמתם, ו-48% אמרו שתהיה להם נכונות מסוימת להירשם אם יהיה להם זמן ואם ההרשמה תהיה כרוכה בתהליך פשוט לביצוע.

...אבל הדעות חלוקות כאשר דנים בשיטה המועדפת לזיהוי משתמשים.

כאשר הצגנו למשתתפי הסקר כמה שיטות אפשריות לזיהוי, ביניהן כרטיסי חומרה חכמים (tokens), תמונות בהתאמה אישית, וזיהוי מבוסס סיכונים, מרבית המשיבים (73%) אמרו שהיו רוצים שהמוסדות הפיננסיים שלהם ישתמשו בזיהוי מבוסס סיכונים. זיהוי מבוסס סיכונים כרוך בפעולות המתבצעות מאחורי הקלעים לניתוח זהותו של המשתמש על בסיס גורמי סיכון הכוללים מיקום ההתחברות, כתובת IP ופרופיל התנהגות המשתמש – שאליהם ניתן לצרף שכבת אבטחה נוספת של שיחות טלפון "מחוץ לפס" או שאלות סודיות כאשר מדובר בעסקות בעלות סיכון גבוה. זיהוי מבוסס סיכונים מתוכנן לספק אבטחה מוגברת עם השפעה מינימאלית על חווית המשתמש – תפיסה שנתקבלה באהדה בקרב משיבי הסקר.

מתוך כל המשיבים בעולם, 40% ענו כי היו רוצים להשתמש בכרטיסי חומרה חכמים לצורך זיהוי. בעלי חשבונות באירופה ובדרום-מזרח אסיה, כמו ספרד, גרמניה, סינגפור והודו, היו התומכים הנלהבים ביותר של טכנולוגיה זו, עם 46-50% מהמשיבים שהיו בוחרים בשיטה זו.

כמחצית מכל המשיבים (49%) הסכימו שאם הבנק שלהם יחליט להשתמש בכרטיסי חומרה חכמים לצורך זיהוי מקוון הם ישמחו אם יוכלו להשתמש באותו כרטיס כדי להיכנס לאתרי האינטרנט האחרים שלהם, בנוסף לאתר הבנקאות המקוון.

56% מהמשיבים דיווחו שהיו רוצים להשתמש בתמונה בהתאמה אישית כדי לזהות ולאמת את אתר הבנקאות המקוון עבור המשתמש; 53% הרגישו שהתמונות בהתאמה אישית יספקו להם תחושה מוגברת של ביטחון. תמונה בהתאמה אישית נבחרת על-ידי המשתמשים ועוזרת להם לוודא שהם אכן נמצאים באתר החוקי של הבנק שלהם, ולא באתר מתחזה.

על אף העובדה שהצרכנים רוצים תוספת של אבטחה ומוכנים להשתמש בה, רק 39% מבעלי החשבונות השיבו שהם מודעים לכך שהבנק שלהם משתמש בצורה כלשהי בתוספת אבטחה (תמונות בהתאמה אישית, זיהוי מבוסס סיכונים, התקן סיסמה חד-פעמית).

למעשה, בארה"ב, ה-FFIEC (Federal Financial Institutions Examination Council) קבע עבור הבנקים את סוף שנת 2006 כתאריך יעד להתחיל לשפר את האבטחה המקוונת שלהם. בסקר שערכה חברת הייעוץ והמחקר גרטנר בקרב 50 בנקים אמריקניים בחודשים אוקטובר ונובמבר 2006, שני שלישים מהבנקים כבר עמדו בהנחיות של ה-FFIEC לספק זיהוי מוגבר בסביבת בנקאות מקוונת ומוכנים לתאריך היעד שנקבע. 30% נוספים תכננו לספק תאימות להנחיות תוך שישה חודשים מיום הסקר, כלומר עד מאי 2007.

על סמך סקר שערכה קבוצת אייט, 92% מעשר הבורסות הקמעוניות הגדולות ו-12 מחמישים הבנקים המובילים בארה"ב כבר בחרו בספקיות של פתרונות לזיהוי משתמשים, לאיתור הונאות ולניטור עסקות, וכ-50% מהמוסדות הפיננסיים צפויים להוסיף אמצעי אבטחה עד תום 2007.

"בעבר הקונצנזוס היה שהאבטחה היא משהו שצריך לטפל בו בשקט – ושהצרכנים סומכים על המוסד הפיננסי שלהם שיגן על הנכסים והמידע", אמר יאנג. "אולם המודעות לגניבות זהות ולהונאות מקוונות הולכת וגדלה ואנשים רוצים שירגיעו אותם ויבטיחו שהם באמת מוגנים. הניסיון שלנו מלמד את מה שתוצאות הסקר רק מחזקות: כדאי לבנקים ליידע צרכנים אודות אמצעי אבטחה חדשים שהם מיישמים, אפילו אם הצרכן אינו יכול לראותם. גם אם מרבית הצרכנים אינם רוצים להטריד את עצמם בנושא האבטחה, הם עדיין רוצים לדעת שהם מוגנים, וכפי שניתן לראות, הם מוכנים לאמץ את הטכנולוגיה".

בעלי חשבונות מצפים מהבנקים שלהם לפקח ולעקוב אחר פעילות בנקאית מערוצים מרוחקים מהסקר עולה, כי 82% מבעלי החשבונות היו מעוניינים שהבנקים שלהם יעקבו אחר פעילויות בנקאות מקוונות וטלפוניות ויחפשו אחר סימנים של התנהגות או פעילות חריגה – בדומה לפיקוח הקיים היום על עסקות בכרטיסי אשראי; 51% חשים, כי הבנקים צריכים ליצור עמם קשר במקרה שמאותרת פעילות חשודה ברשת; 48% חשים שהדבר נכון גם לגבי פעילויות בנקאות טלפוניות. בעלי חשבונות בבריטניה היו הכי משוכנעים בסוגיה, עם 93% שטענו כי היו רוצים מעקב אחר הבנקאות המקוונת שלהם, בהשוואה ל-70% בצרפת.

עלייה בחששות מפני תקיפות חדשות

בתקופה שבה המוסדות הפיננסיים פועלים להרחיב את העסקים שלהם תוך ניסיון למשוך אנשים נוספים לפעילות מקוונת והצגת פונקציונאליות ואפשרויות מקוונות חדשות, תוצאות הסקר מלמדות שיש צורך להתמודד עם סוגיית האבטחה כדי לשמור על אמון המשתמשים באינטרנט ובפעילות המקוונת. ארבעה מתוך חמישה בעלי חשבונות אמרו שכתוצאה ישירה מהונאות כדוגמת פישינג הסבירות שהם יענו על הודעות דואר אלקטרוני מהבנק שלהם ירדה מאד. בנוסף, יותר ממחצית ממשיבי הסקר (52%) אמרו שהסבירות שיירשמו לשירותי בנקאות מקוונים ירדה מאוד כתוצאה מהידיעות על מעשי תרמית והונאה מסוג זה.

הגב לכתבה

השדות המסומנים ב-* הם שדות חובה