Ограничение неиспользуемых аккаунтов
Вход Регистрация

Ограничение неиспользуемых аккаунтов

Исходное положение: Неиспользуемые аккаунты представляют собой легкую мишень для хакеров.

Угроза: Взлом аккаунта.

Если бы вы были хакером и захотели взломать аккаунт чьего-то web-сайта, какую мишень вы бы выбрали? Разумеется, вы не стали бы взламывать аккаунт, которым кто-то пользуется ежедневно, но вы также не стали бы обращать внимание и на аккаунт, к которому никогда не обращались.

Устанавливая контроль над аккаунтом, взломщик может изменять пароль и полностью блокировать законному пользователю доступ. Для хакера существует множество причин взломать чужую учетную запись.

Неиспользуемые аккаунты подвержены риску, так как:

  • Владельцы его могут не знать о последних действиях или изменениях в информации аккаунта.
  • Пароли могут быть устаревшими.
  • Пользователи могут даже не знать о том, что у них есть он-лайновый счет.

Пару лет назад хакеры взломали web-сайт банка и получили доступ к его базе данных. Компьютерные воры воспользовались своими знаниями в области электронного перевода денег и перевели все средства на другие электронные счета. Некоторые владельцы счетов обнаружили пропажу денег и сообщили об этом банку. Работники банка немедленно проверили все электронные переводы, сделанные за последнее время, и связались с клиентами для выяснения законности проведения транзакций. Многие клиенты были удивлены, обнаружив изменения в состоянии счета, а для многих сюрпризом явился сам факт наличия у них электронного счета в данном банке, который банк автоматически создал за них.

Пользователи зачастую первыми замечают мошенничество, но только не в случаях с неиспользуемыми аккаунтами. Один агент по туризму обнаружила, что она может переводить накопленные воздушные мили для бонуса от одного клиента другому. Она обнаружила несколько редко используемых счетов с высоким балансом воздушных миль и частично перевела их на счет родственника, считая, что клиент не заметит разницы. Однако она не учла того, что авиалинии отсылают клиенту сообщения по электронной почте с просьбой подтвердить перевод. Поступили жалобы от нескольких клиентов, и предприимчивый агент был быстро вычислен. Данная компания нашла выход в контролировании неиспользуемых аккаунтов путем запроса у их владельцев подтверждения на проведение каких-либо действий.

Он-лайновые счета потенциально опасны, особенно те из них, которые связаны с переводом финансовых средств. Хакер, в принципе, может взломать счет. Если пользователь не обнаруживает вмешательства, хакер неоднократно может беспрепятственно пользоваться счетом.

Разработайте систему отслеживания состояния счета и метод сохранения неиспользуемых счетов без их полного закрытия. Точно определите, как и когда пользователи будут получать уведомление об изменении состояния счета или проведенных транзакциях, и обеспечьте клиентов конкретным и понятным способом отчета о подозрительных или мошеннических переводах денег.

Централизуйте код для изменений счета и транзакций таким образом, чтобы у вас было общее место для записи, анализа и уведомления пользователей об этих действиях. Разработайте процесс приостановки и удаления неиспользуемых аккаунтов.

Подсказка: Многие web-приложения имеют индикаторы деятельности web-пользователей. Например, некоторые web-форумы сообщают дату последнего посещения или показывают историю продаж и покупок пользователя.

Способы защиты

  • Если ваш аккаунт не будет использоваться в течение длительного времени, поставьте его на сохранение, требующее простой процедуры деактивации, схожей с процессом восстановления пароля.
  • Избегайте обнародования любой информации, указывающей на то, что электронная ячейка не используется.
  • Уведомляйте пользователей с помощью электронного сообщения, письма или любым другим способом в случаях изменения состояния счета или после выполнения значимых операций, если пользователь не являлся инициатором этих действий.
  • Используйте средства защиты от мошенничества, например мониторинг операций с аккаунтом на выявление отклонений от нормы.
  • Не активируйте в автоматическом режиме доступ к он-лайновым счетам для всех пользователей с офф-лайновым счетом.

Комментировать

captcha

Вход

Зарегистрируйтесь, если нет учетной записи

Напомнить пароль
Регистрация
Напомнить пароль
Войти в личный кабинет