F-Secure toivoo muutoksia verkkotunnuksiin
0
F-Secure ehdottaa rahaliikenteeseen liittyville web-palveluille uutta ylätason verkkotunnusta eli domainia, jonka myötä kuluttajien olisi helpompi erottaa aidot sivustot huijaussivuista. Tunnukset saavat yritykset kontrolloitaisiin ja verkko-osoite maksaisikin nykyistä enemmän.
Tietoturvayhtiö lähetti ehdotuksen internet-verkkotunnusten kattojärjestölle ICANN:lle (Internet Corporation for Assigned Names and Numbers). Ehdotuksen mukaan pankeilla ja muilla rahalaitoksilla olisi oma ylätason verkkotunnuksen päätteensä, kuten .bank, .safe tai .secure.
Uusi verkkopääte ei sinänsä estäisi phishing-hyökkäyksiä, F-Securessa kuitenkin arvioidaan, että asiakkaiden olisi helppo tunnistaa tällaiset osoitteet luotettavaksi, ja huijausten uhriksi joutumisen riski vähentyisi. Edellytyksenä olisi "turvadomainin" saavien yritysten hyvin tiukka seulonta.
Nykyiset huijausdomainit saa liian helposti
Tutkimusjohtaja Mikko Hyppönen F-Securesta sanoo ongelmana olevan se, että nykyisin esimerkiksi huutokauppaa, nettikauppaa, rahanvälittäjää tai verkkopankkia muistuttavan .com-päätteisen osoitteen voi rekisteröidä kuka tahansa jopa 15 dollarilla. Osoite on käytettävissä melkein heti, ja ostamiseen ei tarvita oikeita henkilötietoja.
F-Securen ehdotuksessa "turvadomainin" saamiseksi rekisteröijän tiedot tarkistettaisiin huolellisesti ja domainin saaminen edellyttäisi, että yrityksen tiedot on tarkistettu ja rekisteröijä on se, joka väittää olevansa.
Selvitykset maksaisivat, ja siksi turvadomain saisikin maksaa peräti 50 000 euroa. "Pankeilla olisi varaa maksaa tämä, mutta rikollisilla ei välttämättä olisi", Hyppönen visioi.
Hyppönen myös kummastelee, että jopa museot ovat saaneet oman top-level-tunnuksensa (.museum), joten eikö sellainen olisi perusteltu arvokkaalle ja suojattavalle rahaliikenteellekin.
Huijausosoitteita luodaan joka päivä
Hyppönen uskoo, että verkkopankit siirtyisivät tällaiseen järjestelmään nopeasti, koska phishing- eli kalasteluhuijaukset lisääntyvät nopeasti, ja useimmat huijarit eivät jää kiinni. Viime vuonna Britanniassa arvioitiin phishing-huijareiden saaliin olleen jo peräti 33 miljoonaa puntaa eli noin 49 miljoonaa euroa.
"Juuri kukaan näistä ei jää kiinni. Siitä voi miettiä onko ongelma paranemassa tai pahentumassa", Hyppönen pohtii.
Päivittäin uusia domain-rekisteröintejä seuraava Hyppönen kertoo, että esimerkiksi uusia paypal-sanan sisältäviä verkkotunnuksia luodaan 10—15 kappaleen päivävauhdilla, ja suurin osa näistä menee rikollisten käyttöön. Osoitteiden on tarkoitus hämätä kuluttajia, esimerkiksi osoitteilla paypal-verifications.net tai ebay-support.com.
Lisää Mikko Hyppösen näkemyksiä muun muassa phishing-huijareista ja Windowsin tietoturvauhista on luettavissa Tietokone-lehden juuri ilmestyneen numeron 04/2006 tietoturvaa käsittelevässä ict-paneelissa. Koko keskustelu on myös kuunneltavissa netissä.
