Czy wiesz, że Twój komputer posiada wystarczająco dużo unikalnych cech, aby utworzyć profil umożliwiający jego identyfikację? Witaj w nowym, wspaniałym świecie tożsamości urządzeń, gdzie istnieje duże prawdopodobieństwo, że Twój komputer został „oznaczony” przez bank, e-sprzedawcę, portal społecznościowy lub jakąkolwiek inną witrynę, na której utworzyłeś nowe konto, zalogowałeś się lub coś kupiłeś. Dlaczego tak się dzieje? Ponieważ w Internecie trudno udowodnić, że jesteś sobą.
Oszuści wykorzystują ten fakt, kupując lub kradnąc dane osobowe, dane uwierzytelniające i karty kredytowe w celu popełniania cyberprzestępstw. Pisaliśmy o tym między innymi tutaj. Gdy hakerzy będą mieli wystarczająco dużo danych osobowych, aby uchodzić za Ciebie — imię i nazwisko, login, adres e-mail itp. — zmniejsza się prawdopodobieństwo wykrycia oszustwa.
Do czego może służyć profilowanie urządzenia?
Tożsamość Twojego komputera może chronić zarówno Ciebie, jak i witryny, na których przeprowadzasz transakcje. Obecnie firmy internetowe mogą wykorzystać anonimowe dane z przeglądarki użytkownika, połączenia sieciowego i część danych osobowych, aby stwierdzić, czy komputer odwiedzający ich stronę jest oszustem czy klientem. Dane i kontekst transakcji internetowej mogą dostarczyć cennych informacji do bardzo szybkiego zarządzania ryzykiem, bez zakłócania transakcji internetowej i bez wymagania od odwiedzających witrynę podawania informacji umożliwiających identyfikację osób. Zadawane pytania obejmują następujące kwestie:
- Czy widziałem już to urządzenie na naszej stronie internetowej i czy znajduje się ono na białej lub czarnej liście?
- Czy inne strony internetowe widziały to urządzenie i jakie były ich doświadczenia z nim?
- Co widzimy, co jest nie na miejscu, czego brakuje lub co jest niespójne w danych transakcji?
- Jakie zachowanie możemy zaobserwować z tego urządzenia i jakie rzuca ono światło na ryzyko?
- Czego jeszcze mogę się dowiedzieć, dopasowując informacje o urządzeniu do mojej bazy danych? Na przykład – czy to urządzenie próbowało użyć 5 kart kredytowych w 3 minuty?
- Czy ten komputer został przejęty przez botnet?
- Czy urządzenie znajduje się w innym miejscu geograficznym niż to, które podaje — nawet jeśli chowa się za serwerem proxy?
Rozpoczęty w styczniu br. projekt badawczy The Electronic Frontier Foundation (EFF) pokazuje, w jaki sposób anonimowe dane z Twojej przeglądarki mogą zostać wykorzystane do identyfikacji. EFF stworzył aplikację internetową o nazwie Panopticlick, która „anonimowo rejestruje informacje o konfiguracji i wersji systemu operacyjnego, przeglądarki i wtyczek oraz porównuje je z naszą bazą danych konfiguracji wielu innych użytkowników Internetu”. Panopticlick udowadnia, że gromadzenie zbiorów anonimowych danych może rzeczywiście służyć do identyfikacji urządzenia. Kolekcja danych w połączeniu z silnikiem reguł, który jest w stanie przeprowadzić złożoną analizę większej liczby cech z transakcji internetowej w ciągu zaledwie kilku sekund zapewnia skuteczny sposób na podejmowanie w czasie rzeczywistym lepszych decyzji o tym, czy komputer odwiedzający witrynę internetową jest klientem czy oszustem.
Czy zgadzamy się na gromadzenie danych?
Fakt, że witryna internetowa jest w stanie zidentyfikować urządzenie na podstawie anonimowych danych, wywołał kontrowersje. To może być denerwujące, gdy bank musi potwierdzić, że Twoje dane logowania są zgodne z komputerem, który znajduje się na jego białej liście, lub gdy zostaniesz poproszony o dokument tożsamości ze zdjęciem podczas dokonywania transakcji kartą kredytową. Ale ten dodatkowy „kłopot” ma na celu ochronę. Wykorzystanie anonimowych cech transakcji jest podobne, ale powoduje znacznie mniej problemów, ponieważ jest przejrzyste dla klienta internetowego. Ponownie, jeśli spotkasz kogoś na portalu randkowym, a witryna ostrzeże Cię, że osoba, z którą się łączysz, twierdzi, że przebywa na Warszawskim Mokotowie, podczas gdy jego komputer mówi, że naprawdę znajduje się w Nigerii – tutaj znowu identyfikacja urządzenia chroni zarówno Ciebie, jak i portal randkowy.
Według badania przeprowadzonego w 2009 r. przez Ponemon Institute, wiodącą niezależną firmę badawczą koncentrującą się na zagadnieniach i trendach dotyczących prywatności w sieci, 78% ankietowanych konsumentów uważa, że sprzedawcy online, banki i sieci społecznościowe powinny korzystać z technologii takich jak pliki cookie lub inne niewidoczne oprogramowanie w celu ochrony tożsamości konsumentów, podczas gdy tylko 21% chce, aby sprzedawcy internetowi wymagali od samych konsumentów większej ilości danych osobowych. Ponemon był „zaskoczony odkryciem, że przytłaczająca większość ankietowanych konsumentów była zadowolona z pomysłu profilowania swoich komputerów w celu identyfikacji przez sprzedawców internetowych”. Innymi słowy, możesz zbierać „odciski palców mojego komputera”, gdy celem jest ochrona, ale nie uciążliwy marketing.
Warto zapoznać się z naszym artykułem na temat danych gromadzonych w przeglądarkach internetowych i sposobach na ich pobranie. Link tutaj.
Podsumowanie
Anonimowe dane w transakcjach internetowych i wokół nich są skarbnicą wskazówek takich jak język, czas, fonty — a często to brak danych lub niespójności pomogą wykryć przestępcę. Zwłaszcza zabezpieczenia warstwowe są zalecane w celu powstrzymania szerokiej gamy ciągle zmieniających się zagrożeń. Profilowanie urządzeń to użyteczna warstwa, która wykorzystuje anonimowe dane dostępne w transakcji internetowej, aby zaoferować obecnie niedostatecznie wykorzystywaną formę uwierzytelniania i wykrywania anomalii. Fakt, że opisywany proces jest nieinwazyjny, to jego dodatkowa zaleta.