Исходное положение: Неиспользуемые аккаунты представляют собой легкую мишень для хакеров.
Угроза: Взлом аккаунта.
Если бы вы были хакером и захотели взломать аккаунт чьего-то web-сайта, какую мишень вы бы выбрали? Разумеется, вы не стали бы взламывать аккаунт, которым кто-то пользуется ежедневно, но вы также не стали бы обращать внимание и на аккаунт, к которому никогда не обращались.
Устанавливая контроль над аккаунтом, взломщик может изменять пароль и полностью блокировать законному пользователю доступ. Для хакера существует множество причин взломать чужую учетную запись.
Неиспользуемые аккаунты подвержены риску, так как:
- Владельцы его могут не знать о последних действиях или изменениях в информации аккаунта.
- Пароли могут быть устаревшими.
- Пользователи могут даже не знать о том, что у них есть он-лайновый счет.
Пару лет назад хакеры взломали web-сайт банка и получили доступ к его базе данных. Компьютерные воры воспользовались своими знаниями в области электронного перевода денег и перевели все средства на другие электронные счета. Некоторые владельцы счетов обнаружили пропажу денег и сообщили об этом банку. Работники банка немедленно проверили все электронные переводы, сделанные за последнее время, и связались с клиентами для выяснения законности проведения транзакций. Многие клиенты были удивлены, обнаружив изменения в состоянии счета, а для многих сюрпризом явился сам факт наличия у них электронного счета в данном банке, который банк автоматически создал за них.
Пользователи зачастую первыми замечают мошенничество, но только не в случаях с неиспользуемыми аккаунтами. Один агент по туризму обнаружила, что она может переводить накопленные воздушные мили для бонуса от одного клиента другому. Она обнаружила несколько редко используемых счетов с высоким балансом воздушных миль и частично перевела их на счет родственника, считая, что клиент не заметит разницы. Однако она не учла того, что авиалинии отсылают клиенту сообщения по электронной почте с просьбой подтвердить перевод. Поступили жалобы от нескольких клиентов, и предприимчивый агент был быстро вычислен. Данная компания нашла выход в контролировании неиспользуемых аккаунтов путем запроса у их владельцев подтверждения на проведение каких-либо действий.
Он-лайновые счета потенциально опасны, особенно те из них, которые связаны с переводом финансовых средств. Хакер, в принципе, может взломать счет. Если пользователь не обнаруживает вмешательства, хакер неоднократно может беспрепятственно пользоваться счетом.
Разработайте систему отслеживания состояния счета и метод сохранения неиспользуемых счетов без их полного закрытия. Точно определите, как и когда пользователи будут получать уведомление об изменении состояния счета или проведенных транзакциях, и обеспечьте клиентов конкретным и понятным способом отчета о подозрительных или мошеннических переводах денег.
Централизуйте код для изменений счета и транзакций таким образом, чтобы у вас было общее место для записи, анализа и уведомления пользователей об этих действиях. Разработайте процесс приостановки и удаления неиспользуемых аккаунтов.
Подсказка: Многие web-приложения имеют индикаторы деятельности web-пользователей. Например, некоторые web-форумы сообщают дату последнего посещения или показывают историю продаж и покупок пользователя.
Способы защиты
- Если ваш аккаунт не будет использоваться в течение длительного времени, поставьте его на сохранение, требующее простой процедуры деактивации, схожей с процессом восстановления пароля.
- Избегайте обнародования любой информации, указывающей на то, что электронная ячейка не используется.
- Уведомляйте пользователей с помощью электронного сообщения, письма или любым другим способом в случаях изменения состояния счета или после выполнения значимых операций, если пользователь не являлся инициатором этих действий.
- Используйте средства защиты от мошенничества, например мониторинг операций с аккаунтом на выявление отклонений от нормы.
- Не активируйте в автоматическом режиме доступ к он-лайновым счетам для всех пользователей с офф-лайновым счетом.