Naujosios Zelandijos bankas pasisakė prieš mokėjimų tvarkytoją, kuris teigia, kad be klientų žinios kuria suklastotas banko svetaines ir fiksuoja prisijungimo duomenis.
Atsiskaitymų internetu sistema POLi Payments atsidūrė karštame vandenyje po įtarimų, kad taip buvo dubliuoja Australijos ir Naujosios Zelandijos bankų svetaines ir skatina klientus įvesti savo bankinę sistemą detales.
„ASB Bank New Zealand“ iškėlė pavojaus signalą ir pareiškė, kad taikydamas saugumo ir sukčiavimo stebėjimo priemones „nustatė, kad POLi mokėjimo paslauga yra ASB ir „Bank Direct“ saugių internetinės bankininkystės svetainių „apgaudinėjimas / atspindėjimas“, kad jos atrodytų identiškos mūsų autentiškoms svetainėms ir užfiksuotų klientus informacija“.
Vienas iš „POLi Payments“ pasiūlymų yra bendradarbiauti su įmonėmis, kad jų klientai galėtų naudoti POLi mokėjimui iš savo banko sąskaitų, panaikindami arba sumažindami prekybininkų mokesčius. Atsiskaitydami įmonėje, kurioje veikia POLi, klientai raginami prisijungti prie savo banko sąskaitos, kurioje POLi atlieka operaciją vartotojo vardu.
Dalyvaujančios įmonės yra „Jetstar“, „Virgin Australia“, „Air New Zealand“ ir „Dodo“.
Tačiau ASB teigia, kad vartotojams iš tikrųjų pateikiama svetainės dublikatas, kitaip nei kaip sukčiai bando sukčiauti dėl banko duomenų ir informavo, kad tai iš tikrųjų yra teisėta bankininkystė Interneto svetainė. Tada kliento duomenys per POLi siunčiami į banko serverius prisijungti ir atlikti operacijas.
Panašu, kad POLi nenaudojo banko informacijos piktavališkai, tačiau ji neinformuoja klientų, kad jų duomenys gali būti įvesti ne banko serveryje.
ASB bankas perspėjo vartotojus, kad „tai nėra mūsų saugios svetainės ir mes negalime patikrinti POLi paslaugos saugumo. Tada POLi naudoja jūsų informaciją, kad prisijungtų prie mūsų tikrų svetainių jūsų vardu.
Nuo to laiko ASB bankas paprašė POLi pašalinti pasikartojančias svetaines ir rekomenduoja klientams nesinaudoti POLi.
„Mes nesame susiję su POLi ir niekada jai nepritarėme“.
POLi paneigė teiginius, teigdama, kad „POLi jokiu būdu nefiksuoja ir nesaugo klientų informacijos“ ir kad tai tik „pranešimo paslaugos teikimas, kai banko svetainės pasiekiamos per mūsų saugią paslaugą serveriai“.
Pats ZDNet proceso tyrimas rodo, kad bent jau Australijos Sandraugos banko (CBA) prisijungimo ekranai, ANZ, Nacionalinis Australijos bankas (NAB) ir Westpac buvo iš naujo priglobti (išskyrus būtinus scenarijus ir vaizdus) POLi. serveriai. Pačios POLi sistema rodo, kad „banko URL“, kurį ji paprastai gali matyti, neatspindi tikrojo rodomo turinio.
Paties POLi „banko URL“ rodo adresą, iš kurio paprastai gaunamas turinys, tačiau puslapio šaltinis rodo, kad įkeliami duomenys iš POLi priklausančio domeno. (Ekrano kopija Michael Lee / ZDNet)
POLi generalinis direktorius Jeffery McAlister sakė ZDNet, kad rodomas banko URL yra skirtas parodyti, su kuo klientas bendrauja per POLi.
POLi ir toliau laikosi savo teiginių, kad ji neatspindi bankų svetainių, teigdama, kad ji neaptarnauja talpykloje saugomų ar statinių puslapių, kad tai „nėra veidrodinė svetainė; tai yra perėjimo paslauga“, ir kad „POLi niekada nesistengia nuslėpti, kad klientas atlieka POLi operaciją“.
„Kai atliekate sandorius per POLi, tinklalapiai ir užklausos perduodamos per POLi serverius, esančius saugiame duomenų centre.
„Konkrečiai, kliento užklausa ateina iš kliento naršyklės, per POLi mokėjimų serverius ir tada tiesiai į banko svetainę. Saugumo sumetimais visas ryšys yra užšifruotas SSL.
Praktikos vadovas Steve'as Darrallas iš informacijos saugumo konsultacijų įmonės „Securus Global“ nesutinka su nuomone, kad „POLi“ niekada neturėjo prieigos prie klientų banko duomenų.
Darrall pats perėjo mokėjimo procesą, įvesdamas prisijungimo duomenis ir eidamas jo keliu.
„Ta prisijungimo informacija buvo siunčiama į POLi arba į POLi serverį, o ne į banko serverį.
Tai nereiškia, kad informacija galiausiai nepatektų į banką, tačiau Darrall pabrėžė, kad tai įveda kitą veiksnį, kurį reikia užtikrinti.
„Jei naudojuosi internetine bankininkyste ir einu tiesiai į savo banko svetainę, pasikliauju vien jų saugumu“, – sakė jis, su sąlyga, kad jo kompiuteryje nėra kenkėjiškų programų.
„Jei tada einate ir naudojatės trečiąja šalimi, grandinėje yra kita grandis, taigi jūs pasikliaujate POLi ir banko saugumu.
POLi visiškai pasitiki savo saugumu ir ZDNet pranešė, kad pasiūlė visiems pagrindiniams Naujosios Zelandijos bankams galimybę patikrinti savo programinę įrangą ir saugos procedūras. McAlister taip pat sakė ZDNet, kad jis įvairiu metu pradėjo diskusijas su Australijos bankais.
„Kiekvienų užsiėmimų metu stengėmės būti kiek įmanoma atviresni ir skaidresni. Atsižvelgdamas į tai, norėčiau pasiūlyti visiems Australijos bankams galimybę peržiūrėti POLi programinę įrangą.
Šių metų pradžioje Security-Assessment.com jau įvertino programinę įrangą. Auditas parodė, kad POLi programinė įranga buvo švari, tik rasta „namų tvarkymo problemų ar konfigūracijos nustatymų“, kuriuos reikia ištaisyti.
Ji išnagrinėjo POLi programas, taip pat jos „atvirkštinio tarpinio serverio sprendimą“ ir nustatė, kad „POLi Payments“ programos „nesaugo, neperdavė ir nenaudoja internetinės bankininkystės. Taip pat buvo nustatyta, kad „nebuvo įmanoma gauti prieigos prie internetinės bankininkystės kredencialų per jokį pažeidžiamumą arba neteisinga konfigūracija“.
„Security-Assessment.com nenustatė jokių pažeidžiamumų per atvirkštinio tarpinio serverio kodo peržiūrą. Sprendimas atlieka būtinas užduotis, nesukeldamas bankų ar vartotojų saugumo problemų“.
Australijos bankai įspėja įvesti savo duomenis kitose nei oficialiose bankų svetainėse.
„Saugumo sumetimais stebime visas trečiųjų šalių mokėjimo parinktis; tačiau pagrindinė mūsų rekomendacija klientams išlieka ta pati: kurdami internetu naudokite NAB debeto arba kredito kortelę mokėjimų, dėl mūsų sistemų teikiamo papildomo saugumo ir „NAB Defense“ sukčiavimo garantijos“, – sakė NAB ZDNet.
CBA taip pat patvirtino, kad „POLi Payments“ nėra organizacija, su kuria ji dirba tiesiogiai, ir laikėsi savo ankstesnio patarimo nesinaudoti trečiosiomis šalimis mokėjimams tvarkyti, jei įmanoma.
„Commonwealth Bank neturi jokios darbo sutarties su POLi Payments, todėl mokėjimo svetainė nėra patvirtinta ir nepalaikoma banko. Bankas ragina klientus, atliekančius mokėjimus internetu, tai daryti per paties banko „NetBank“ svetainę, kuri garantuoja kliento saugumą“, – „ZDNet“ sakė CBA.
Darrall teigimu, trečiosios šalies įtraukimas į sandorį taip pat gali turėti įtakos tam, kas gali būti atsakingas už bet kokį sukčiavimą, nepaisant to, kas yra trečioji šalis.
„Aš suprantu daugumos bankų taisykles ir sąlygas, jei pateikiate savo duomenis trečiajai šaliai, o tada savo sąskaitą yra piktnaudžiaujama, tada atsako sąskaitos savininkas“, – sakė jis ir pridūrė, kad paprastai klientas turi įrodyti, kad jis nebuvo kaltė.
NAB teigė, kad POLi atveju klientams vis tiek bus taikoma jos sukčiavimo garantija, „kai bus aišku, kad jie neprisidėjo prie nuostolių“.
Tą pačią kalbą vartoja daugelis kitų bankų, kurie remiasi tuo, kad klientas įrodo, kad jis nebuvo tiesiogiai atsakingas už nuostolius, todėl kaltę perkelia trečioji šalis.
Atsakydama į teiginį, kad klientai gali pažeisti savo sąlygas, naudodamiesi jos paslaugomis, POLi teigė, kad „niekada neužfiksuoja vartotojų vardų ar slaptažodžių, todėl klientai nesidalija su trečiuoju vakarėlis."