Social-Engineering-Angriffe im Firmenkundengeschäft: PKI- und WYSIWYS-Lösungen

Aktuelle Social-Engineering-Angriffe

Social-Engineering-Betrug im Firmenkundengeschäft bezeichnet ein breites Spektrum von schädlichen Manipulationen, die darauf abzielen, betrügerische digitale Operationen und Transaktionen in Bereichen wie Cash- und Kreditmanagement, Vermögensverwaltung und Underwriting für kleine und mittlere Unternehmen sowie große Konzerne auszuführen.

Was Social-Engineering-Angriffe (computergestützte Angriffe) besonders tückisch macht, ist die Tatsache, dass sie das menschliche Element ausnutzen, das anfällig für Fehler wie Fehlinterpretationen, Routine und zu viel Vertrauen anstelle von Systemschwachstellen ist.

Zu den aktuellen Social-Engineering-Angriffen auf Finanzinstitute in der digitalen Welt gehören:

sich als bevollmächtigte Kontoinhaber und unterzeichnenden Personen ausgeben, um in ihrem Namen betrügerische Transaktionen auszuführen,
den Inhalt oder den Zweck von Vorgängen zu ändern, wenn sie von diesen autorisierten Benutzern signiert werden.

Die Gemalto PKI Software Suite umfasst komplementäre Lösungen, um mehr Möglichkeiten zur Verteidigung für bestehende PKI-Infrastrukturen zu entwickeln.

Authentifizieren. Verschlüsseln. Signieren. In allen Formfaktoren.

Die PKI-Lösungen von Thales Gemalto sorgen für die Sicherheit Ihrer Unternehmensressourcen.

Diese Lösungen richten sich an Firmenkunden und ergänzen die Sicherheitslösungen für digitales Banking, die für Privatkunden entwickelt wurden.

Understand What You Sign (UWYS)

Gemalto Swat ist unsere High-End-Lösung für Geschäftsbanken, die ihren Kunden und Tochtergesellschaften erstklassige Sicherheit für ihre elektronische Bankkontenverwaltung (eBAM), ihre ACH-Aktivitäten (automatisiertes Clearinghaus), ihre Überweisungen und Interbankenzahlungen bieten möchten.

Das Gemalto-Swat-Lesegerät ist ein Signaturgerät, das in bestehende PKI-Systeme integriert werden kann, um kontextbezogene Kontrolle und Geräteauthentifizierung während aller PKI-Signaturvorgänge zu ermöglichen.

Die Lösung ermöglicht es Finanzinstituten, jeden sensiblen Vorgang mit einer Kontextbeschreibung zu verbinden, die die Integrität sowohl des Inhalts (siehe: WYSIWYS) als auch des Zwecks eines Vorgangs (siehe: UWYS) gewährleistet.

Im folgenden Fall: „Sie unterzeichnen eine Gruppe von 52 Transaktionen im Wert von 350 USD“.

Dies bietet dem Unterzeichner ein UWYS-Erlebnis (Understand-What-You-Sign), das die neuesten Varianten von (Man in the Browser) und Social-Engineering-Angriffen bekämpft und gleichzeitig Benutzerfreundlichkeit und Mobilität gewährleistet.

Gemalto-Swat-Lesegerät

Gemalto-Swat-Lesegerät

Dieses Signaturgerät kann in bestehende PKI-Systeme integriert werden, um eine kontextbezogene Kontrolle und Geräteauthentifizierung während aller PKI-Signaturvorgänge zu ermöglichen.

Eingebettetes sicheres Element, das die Geräteauthentifizierung und die angezeigte Textsignatur verarbeitet
Sichere PIN-Eingabe
Großes Display mit Anzeige des Signaturuzwecks
USB- oder BLE-Verbindung
Unterstützung für PC, Smartphone und Tablet

Gemalto eToken 5300

Eine ideale Lösung für Unternehmen, die eine hochsichere PKI einsetzen und dabei keine Kompromisse beim Benutzerkomfort für ihre Mitarbeiter machen möchten.

Kompakter, manipulationssicherer USB-Stick mit Anwesenheitserkennung, der eine 3-Faktor-Authentifizierung (3FA) ermöglicht
Erweiterte zertifikatsbasierte Anwendungen wie digitale Signatur, E-Mail-Verschlüsselung und Pre-Boot-Authentifizierung
Sicherer Fernzugriff auf VPNs, Webportale und sichere Netzwerkanmeldung
Erhältlich in zwei Größen: Mini oder Micro

Der Gemalto eToken 5300 ist ein 3-Faktor-Authentisierungs-Smart-Token zur Erweiterung bestehender PKI-Systeme.

What You See Is What You Sign (WYSIWYS)

WYSIWYS bezieht sich auf eine funktionale Methode, die die Integrität elektronischer Dokumente und ihrer digitalen Signaturen auf sichtbare Weise gewährleistet.

Die Wahrheit ist, dass die unterzeichnende Person nie wirklich sieht, was sie digital unterschreibt.

Sie sieht lediglich eine Darstellung des elektronischen Dokuments und der elektronischen Signatur. Dieser Prozess ist auf die Technologie zurückzuführen, die den Implementierungen der digitalen Signaturen zugrunde liegt. Ein Dokument und seine Signatur sind nur eine Reihe von Bits.

Wie kann eine unterzeichnende Person also sicher sein, dass die auf einem Browser gelesene Nachricht echt ist, von der richtigen Quelle stammt und mit dem angezeigten Inhalt übereinstimmt?

Vollständiges „Sehen und Verstehen“-Signaturerlebnis.

Mit Gemalto Websigner, der neuen Web-Erweiterungstechnologie, die von den führenden Browser-Anbietern gefördert wird, kann die Swat-Lösung ein vollständiges webbasiertes WYSWYS- und UWYS-Signaturerlebnis auf aktuellen Chrome-, Firefox- und Edge-Browsern bieten.

Das Swat-Gerät verfügt über ein Standard-PIN-Pad, das eine sichere PIN-Eingabe (SPE) ermöglicht und die Durchführung üblicher kryptographischer Operationen mit einer PKI-Smartcard erlaubt.

Außerdem ermöglicht das Swat-Gerät der unterzeichnenden Person, genau zu verstehen, was sie unterschreiben soll, um spezifische Social-Engineering-Angriffe zu entschärfen.

Diese Funktion ist das UWYS-Konzept, das sich auf drei Funktionen stützt:

Sicherer PIN-Code (gegen PIN-Login-Malware und Replay)
WYSWYS-Kontrolle der Vorgangsdetails durch die unterzeichnende Person in Synchronisation mit der PKI-Signaturkontrolle der Bank (gegen MitB und MitM)
UWYS-Kontrolle des Kontexts durch die unterzeichnende Person (gegen Social Engineering und HTML Injection zur Täuschung des Benutzers).

Einhaltung der Standards im Firmenkundengeschäft

Die vorgestellten Lösungen sind darüber hinaus vollständig kompatibel mit den wichtigsten von Finanzinstituten geforderten Standards wie z. B.:

ISO 20022 für den elektronischen Datenaustausch, der häufig von eBAM und ACH verwendet wird,
XMLDsig und PKCS#7 für digitale Signaturen,
oder PSD2-Konformität für starke Authentifizierung und dynamische Verknüpfung von Transaktionen.

Kontaktieren Sie einen Experten