Il social engineering e il corporate banking: soluzioni PKI e WYSIWYS

Recenti attacchi di social engineering

Frode di social engineering nel corporate banking è il termine utilizzato per un'ampia gamma di manipolazioni malevole progettate per eseguire operazioni e transazioni digitali fraudolente in domini quali la gestione del contante e del credito, la gestione degli asset e la sottoscrizione di piccole e medie imprese e grandi aziende.

Ciò che rende particolarmente perniciosi gli attacchi di social engineering (basati su computer) è che sfruttano l'elemento umano incline a errori come l'interpretazione errata, la routine e l'eccessiva fiducia, anziché le vulnerabilità del sistema.

I recenti attacchi di social engineering alle istituzioni finanziarie nel mondo digitale includono il tentativo di:

Impersonare i titolari dei conti e i firmatari autorizzati per eseguire operazioni fraudolente per loro conto,
Modificare il contenuto o lo scopo delle operazioni quando vengono firmate da questi utenti autorizzati.

La PKI Software Suite Gemalto comprende soluzioni complementari per sviluppare più capacità difensive per le infrastrutture PKI legacy.

Autentica. Codifica. Firma. In qualsiasi fattore di forma.

Le soluzioni PKI Gemalto di Thales garantiscono la sicurezza delle risorse aziendali.

Queste soluzioni si rivolgono al corporate banking e integrano le soluzioni di sicurezza del digital banking sviluppate per i clienti dei servizi bancari al dettaglio.

Understand What You Sign (UWYS)

Swat Gemalto è la nostra soluzione di fascia alta per le banche aziendali che desiderano fornire la migliore sicurezza possibile ai loro clienti e alle loro filiali per la gestione elettronica dei conti bancari (eBAM), per le attività ACH (Automated Clearing House), per i bonifici e per i pagamenti interbancari.

Il lettore Swat Gemalto è un dispositivo di firma che può essere inserito nei sistemi PKI esistenti per fornire un controllo contestuale e l'autenticazione del dispositivo durante tutte le operazioni di firma PKI.

La soluzione consente alle istituzioni finanziarie di associare a qualsiasi operazione sensibile una descrizione del contesto che garantisca l'integrità sia del contenuto (vedi: WYSIWYS) sia dello scopo di un'operazione (vedi: UWYS).

Nel caso seguente: "Si sta firmando un insieme di 52 transazioni per un importo di 350 USD".

Fornisce un'esperienza UWYS (Understand-What-You-Sign) a chi deve apporre la firma, riducendo il rischio degli attacchi MitB (Man in the Browser) e di social engineering di ultima generazione, privilegiando al contempo la facilità d'uso e la mobilità.

Lettore Swat Gemalto

Lettore Swat Gemalto

Questo dispositivo di firma può essere integrato nei sistemi PKI esistenti per fornire un controllo contestuale e l'autenticazione del dispositivo durante tutte le operazioni di firma PKI.

Elemento sicuro incorporato che elabora l'autenticazione del dispositivo e la firma del testo visualizzato
Inserimento sicuro del PIN
Ampio display con descrizione dello scopo della firma
Connessione USB o BLE
Supporto per PC, dispositivi mobili e tablet

eToken Gemalto 5300

eToken Gemalto 5300

Una soluzione ideale per le aziende che desiderano implementare l'elevata sicurezza della PKI mantenendo una soluzione conveniente per i dipendenti.

USB compatta e antimanomissione con rilevamento di presenza, che crea un'autenticazione a terzo fattore (3FA)
Applicazioni avanzate basate su certificati, come la firma digitale, la crittografia delle e-mail e l'autenticazione pre-avvio
Accesso remoto sicuro a VPN, portali web e accesso sicuro alla rete
Due dimensioni possibili: Mini o Micro

eToken Gemalto 5300 è uno smart token di autenticazione a 3 fattori per migliorare i sistemi PKI tradizionali.

What You See Is What You Sign (WYSIWYS)

WYSIWYS si riferisce a un metodo funzionale che garantisce visibilmente l'integrità dei documenti elettronici e delle loro firme digitali.

La verità è che un chi deve apporre la firma non vede mai veramente ciò che firma digitalmente.

L'utente vede solo una rappresentazione del documento elettronico e della firma elettronica. Questo processo è dovuto alla tecnologia alla base delle implementazioni delle firme digitali. Un documento e la sua firma sono solo un insieme di bit.

Quindi, chi deve apporre la firma come può accertarsi che il messaggio letto su un browser sia autentico, provenga dalla fonte giusta e di essere d'accordo sul contenuto che visualizza?

Esperienza completa di "vedere e capire" la firma.

Con Websigner Gemalto, la nuova tecnologia di estensione web promossa dai principali fornitori di browser, la soluzione Swat è in grado di fornire un'esperienza di firma WYSWYS e UWYS completa basata sul web sui recenti browser Chrome, Firefox ed Edge.

Il dispositivo Swat è dotato di una PIN pad standard che consente l'inserimento sicuro del PIN (SPE) e permette di eseguire le consuete operazioni crittografiche utilizzando una smart card PKI.

Inoltre, il dispositivo Swat consente chi deve apporre la firma di comprendere con precisione ciò che gli viene richiesto di firmare per ridurre il rischio di specifici attacchi di social engineering.

Questo è il concetto UWYS che si basa su tre caratteristiche:

Codice PIN sicuro (contro malware e replay di login con PIN)
Controllo WYSWYS dei dettagli dell'operazione da parte di chi deve apporre la firma in sincronia con il controllo di firma della PKI della banca (contro MitB e MitM)
Controllo UWYS del contesto da parte di chi deve apporre la firma (contro il social engineering e l'HTML injection per ingannare l'utente).

Conformità agli standard del corporate banking

Le soluzioni presentate sono inoltre pienamente compatibili con i principali standard richiesti dalle istituzioni finanziarie, quali:

ISO 20022 per lo scambio di dati elettronici, molto utilizzato da eBAM e ACH,
XMLDsig e PKCS#7 per le firme digitali,
oppure conformità alla PSD2 per l'autenticazione forte e il collegamento dinamico delle transazioni.

Consulta una figura professionale esperta