Lista abrevierilor [303399]

[anonimizat]- [anonimizat]- [anonimizat]- [anonimizat]- [anonimizat]- Secure Electronic Transaction

3DS- 3D [anonimizat]- [anonimizat]

3D SET-3D [anonimizat]- [anonimizat]2- Rivest Cipher 2

RC4- Rivest Cipher 4

RC5- Rivest Cipher 5

RSA- Rivest–Shamir–[anonimizat]- [anonimizat]- [anonimizat]- Structured Query Language

Lista figurilor

Figura 1 – Organizarea lucrării de diplomă

Figura 2 – Arhitectura protocolului SSL

Figura 3 – Arhitectura protocolului TLS

Figura 4 – Prezentarea secțiunii unde se introduce codul unic generat de token

Figura 5 – [anonimizat](prima etapă)

Figura 6 – Prezentarea secțiunii unde se introduce codul unic primit prin SMS(etapa a doua)

Figura 7 – Prezentarea paginii principale și a serviciilor de care clientul dispune

Figura 8 – Prezentarea secțiunii în care apare mesajul de informare

Figura 9 – Prezentarea secțiunii în care apare mesajul care anunță expirarea sesiunii de conectare

Figura 10 – Prezentarea secțiunii în care apare mesajul care confirmă certificarea SSL

Figura 11 – Accesul în aplicație folosind butonul de „Activare”

Figura 12 – Prezentarea secțiuni de introducere a celor două coduri

Figura 13 – Prezentarea secțiuni de stabilire și confirmare a parolei

Figura 14 – Prezentarea secțiuni de introducere a parolei

Figura 15 – Prezentarea paginii cu datele clientului și operațiunile pe care el le poate efectua

Figura 16 – Prezentarea serviciilor din secțiunea „Finanțe”

Figura 17 – Prezentarea serviciilor din secțiunea „Plăți”

Figura 18 – Prezentarea paginii unde sunt afișate mesajele și se pot adresa mesaje băncii

Figura 19 – Prezentarea serviciilor din secțiunea „Utile”

Figura 20 – Interfața VirtualeBox

Figura 21 – Categoriile de instrumente oferite de Santoku

Figura 22 – Crearea noului dispozitiv

Figura 23 – Dispozitivul este creat

Figura 24 – Interfața dispozitivului

Figura 25 – Instalarea aplicației BT24 Mobile Banking pe dispozitiv

Figura 26 – Etapele de testare

Figura 27 – Structura planului de testare

Figura 28 – [anonimizat] 29 – Verificarea existenței aplicației pe dispozitiv prin comenzi

Figura 30 – Aplicația este pe dispozitiv

Figura 31 – Fișierul apk a fost extras

Figura 32 – Conținutul fișierului apk este dezarhivat

Figura 33 – Fișierul este convertit în format .jar

Figura 34 – [anonimizat] 35 – [anonimizat] 36 – Modificare logo

Figura 37 – [anonimizat] 38 – Fișierul cu arhiva care conține semnătura

Figura 39 – Aplicația este în format apk

Figura 40 – Aplicația este semnată

Figura 41 – Logo-[anonimizat] a [anonimizat].As a result, information technology has become a critical business resource, because its absence could resulted in bad decisions and, ultimately,business failures.The technology has opened new markets, new products, new services and efficient delivery channels for the banking industry (e.g e-banking, mobile banking). Information Technology has also provided the banking industry with the means to meet the challenges generated by the new economy.As Information Technology is the engine of the banking system, it is meant to increase the speed and reliability of financial operations and bank sector consolidation initiatives.The unprecedented increases in financial activities around the globe are due to the revolution in Information Technology.

Information technology is the one that allows the banking system to meet the needs and expectations of customers who are more demanding and more familiar compared to customers in previous years.These require instant bank facilities, anytime, anywhere.Other research shows that information technology provides banks with solutions to take care of accounting and office requirements.Therefore, this has led to widespread use of services for bank customers.Thus, the client has the ability to perform various banking operations where he can access his bank account via the Internet.

In addition to changes in the financial sector, advancing technology has brought about changes in data security.Using the Internet as a means of accessing banking services has created new problems in securing online transactions.In order for information to be secured, measures need to be implemented specific measures that have to ensure the protection of information against unauthorized loss, destruction or disclosure.The concept of information security refers to the ability to ensure integrity, confidentiality and availability of data.As regards integrity, there are methods by which information is processed with accuracy.Privacy ensures access to information only to authorized persons.Accessibility allows users to access information at appropriate times.

Also, the evolution of banking technology attracts new ricks for which banks need to implement new control measures.At the same time, this development is accompanied by technical security measures carried out by equipment manufacturers.If the technological evolution increases exponentially, the human component remains unchanged, which will conclude with the idea that information security can not be achieved only by technical measures, with man making an important contribution to this.In particular, security incidents are due to inappropriate risk management and less due to technical defects.

Therefore, the banking system must form an overview of the risks that may arise through the use of new technologies, manage these risks appropriately, inform the staff about these risks, their management and control methods, and make them aware of their severity.

By making a reference to what has been presented above,it made me approach the theme of the license:"Analysis of the Security of Internet Banking Systems" and the evolution of the information technology in the financial field emphasized my desire to discover the methods of securing the data used by banks in the Internet Banking service.

Thus, the purpose of this document is to analyze bank security, namely the security of Internet Banking systems and the security methods used by the banking system to protect confidential information.

Moreover, in the diploma thesis I made a case study on Internet Banking services provided by a bank in Romania.In the first part, I made an introduction to the banking system in Romania and how it developed under the influence the evolution of technology, the services it provides to its customers, the security methods approached for these services, more precisely the quality and safety that the Romanian banking services provide to the customers.

Then, my attention was focused on how this bank is doing: data encryption, data integrity, customer registration, client authentication, information exchanges with customers, etc.

Theoretical fundamentals

Introduction

Among the electronic banking services we find: Internet Banking, Home Banking and Mobile Banking. In principle, all three services provide the bank's client with the same facilities, the differences being given by the freedom of movement offered and the communication channel with the bank,so:

Internet Banking, known as online banking, is based on an Internet connection, which is, in fact, the channel through which it carries out all banking activity.This service, made available by banks, can be used by both individuals and legal entities to perform certain banking operations by using a computer connected to the Internet.

Home Banking is a banking service based on the installation of a special application on the client's computer through which it can communicate with the bank either through a modem-modem connection or via the Internet.This service can be accessed using a web browser at a address provided by the bank.The difference between this service and Internet Banking is that it requires a local installation of a security certificate.

Mobile Banking is a novelty in terms of banking services, using the mobile phone as a means of accessing the financial application held by the bank. Banking operations via mobile phone have developed a lot lately and, as a result, bank operations can now be performed anywhere and at any time with the aid of the mobile device.

Particularities of Internet Banking Services

Regarding the particularities of Internet Banking services I will refer to: standards / protocols and entities involved in this banking service.

Internet Banking, as mentioned above, uses the Internet as a communication medium with the bank, a network that by definition does not ensure the security of the data transmitted through it.

For data to be protected, web browsers deal with security issues through multiple protocols such as:SSL, TLS, SET, 3DS.

The Secure Sockets Layer(SSL) protocol is used in most secure Internet transactions. Essentially, this protocol establishes a secure connection between a client and a secure server to transmit data.

The Transport Layer Security protocol(TLS) is a security protocol, used to create a standard for private communications. This protocol also allows the client / server to communicate in such a way that the transmitted data can not be intercepted.

The Secure Electronic Transaction(SET) protocol is a protocol designed to secure secured credit card transactions over the Internet and to provide the parties involved in these transactions. Developed by VISA and MasterCard, this protocol helps improve consumer confidence on how data is secured.

The 3DS (3D-Secure) protocol was originally developed by Arcot System (CA Technologies) and subsequently implemented by Visa and MasterCard to accelerate the growth of e-commerce by improving Internet security.

Among the entities involved in electronic commerce using the Internet banking service, we find:banks, payment intermediaries, aggregators, gateways, payment processors, certification authorities and trustworthy service providers, suppliers and manufacturers.

Risk identification and analysis

With the development of technology and the emergence of online banking, banks face increased risks in terms of e-business.As a result of this, I will continue to present the risks identified by banks and their approaches to their control.

From the point of view of electronic activities, there are both classical risks and new risks such as operational risk (security risk, design risks, systems implementation and maintenance, risks arising from inappropriate customer use of banking products and services), reputational risk, legal risk, credit risk, interest rate risk, liquidity risk, market risk, management risk, etc.

After the risks has been determined, the bank has the duty to manage them and control them. This management and control process involves:

The approach of security policies and measures, where the term security includes a number of systems, applications and internal control, thus contributing to the protection of data. Also, security policy reveals intentions to support information security, how to organize security and indicates the main ways that define the bank's security risk tolerance.In addition, the security policy expands the responsibilities for modeling, implementation and enforcement of security measures;

Internal communication may be conducted under normal circumstances if all procedures are provided in writing.Also, management must organize a staff training session on new technologies adopted to reduce operational risk, and technical staff should inform management the structure of the system and its operation;

Evaluating products and services before exposure to them helps to reduce both operational and reputational risk.In addition, by evaluating systems, one can determine whether the results they provide are what they want.

At the same time, in addition to the management and control process, the bank's management must use the optimal infrastructure, regulate all the activities carried out, and designate those responsible for supervising and authorizing activities.

Security mechanisms

At present, security is the main concern in every area of life and also plays a very important role in the banking system, more precisely in banking transactions.Security issues can be found in two situations:

The first situation is where the person who makes the fraud can reach the system directly, in which case we have physical security;

The second situation is where the person who makes the fraud reaches the system by electronic means, in which case we have an electronic security.

Therefore, taking into account the two situations that may arise and the wave of security threats generated by the attacks, a security policy is needed to cover the Internet Banking control services.These control services are: data confidentiality, data integrity, authentication,

non-repudiation, access control, network security, logging and auditing, system availability, customer protection.Also, these control services can be implemented on the layers of the OSI model.

Another category of control techniques used by the banking system are cryptographic techniques.In this case, encryption is used to protect the transmission of important digital data in computer networks.Thus, there are two basic encryption techniques, namely:

Encryption technique using symmetric algorithm (secret key).In symmetric algorithm systems, the sender and receiver of a message each uses the same secret key: the sender uses it to encrypt a message, and the receiver uses it to decrypt this message.The most important aspect of encryption using a symmetric key is that very fast coding and decoding occurs.

Encryption technique using asymmetric algorithm (public key).Two keys are used in asymmetric algorithms. A key is kept secret and is therefore referred to as the "private key".The other key is widely available to anyone who wants it and is called the "public key".Private and public keys are mathematically linked, so encrypted private key information can only be decrypted by the appropriate public key and vice versa.The private key, regardless of the key system used, is specific to an information system.Therefore, the sender of a message can be authenticated as a private key holder by any person decrypting the message with a public key.This property allows the implementation of non-repudiation schemes.

Implementation

In the banking field, the development of information technology (IT) has a major effect on the development of more flexible payment methods and easier use of banking services.The Bank becomes an essential factor in the process of developing an economy.

Thus, in order for this process to take place, it is necessary for banks to progress, which will ensure their evolution on the market.As for progress, one can say that the banking system in Romania, like that of other nations, is advancing in the development of electronic services. Adaptation to the electronic system consists in translating information into an electronic message that can be encrypted automatically and electronically decrypted.In addition, this adaptation to electronic services also entails taking into account certain security risks.

From this perspective, I still intend to analyze the security of Internet Banking services provided by a bank in Romania, namely Banca Transilvania (BT).

Currently, Banca Transilvania is one of the most important financial and banking institutions in Romania, ranked among the top 10 and one of the most attractive companies listed on the Bucharest Stock Exchange.To ensure the best quality of services, BT is constantly working At their 13.15% market share in 2017, Banca Transilvania is an active player on the market, becoming a world-renowned bank. BT also has around 2.2 million of customers and 7,300 employees.With the multitude of services this bank offers, we find the Internet Banking service both on an online platform and as an application on the mobile device.

Next, I will analyze the security solutions adopted by this bank for both the bank's web platform and the mobile application, and then I will do some tests to check the security level of the application on a mobile device running Android.

The web platform and the mobile app of the bank offer customers various services without having to go to a bank's headquarters.

In addition to these services, the bank assures the customer that its data is kept secure by using current security techniques, using algorithms and security certificates.

To test how data is secured in the BT24 Mobile Banking application, we have run a test.This test is based on identifying vulnerabilities in the application.To perform this test, we used a virtual machine on which an operating system which allows you to emulate an Android device. On this device, I installed the app in question.

The operating system used is called Santoku. This is a preconfigured and bootable Linux environment that has a variety of packages and applications that allow vulnerabilities to be identified. We used these tools: apktool, adb, dex2jar, jd-gui, etc.

In order to perform this test, we have made a test plan.Therefore, in order for this security analysis to provide useful information, we have developed a test plan that is based on an overview of the possible attacks. testing was created considering Android as an operating system.Thus, the plan has the following structure:

As can be seen in the previous figure, there are three major attack areas that need to be scrutinized in detail.Also, specific sets of tools and understanding of the operating system to be attacked are required for each section.

After installing the application on the mobile device, we performed specific tests for the second section of the test plan. The results of these tests will be presented in the next chapter.

Experimental results

The experimental results are obtained on the basis of the test plan, which includes the three sections vulnerable to attacks.Therefore, I will expose the results obtained and the tools used to obtain them. As I mentioned earlier, in order to highlight the vulnerabilities of the application, the latter is the process by which the functionality of an application is discovered,the final product code is decomposed to be analyzed.In this case, this decomposition assumed the transition from the binary code of the application to the java code.This was done by using specific tools such as apktool, jd-gui, dex2jar, which I will explain later.Moreover, to accomplish this BT24 Mobile Banking vulnerability identification test in the second section, I proposed to change the logo on the first page.This was done according to the following figure:

After the two steps in the plan, the application logo has changed, which means the application has vulnerabilities.This vulnerability that we found following the test has serious consequences. Also, the fact that the application is available in binary code and this code can be used by any person determines the emergence of security risks.In addition, if these risks are not they are identified in a timely manner and can cause considerable damage.Moreover, by this test, I wanted to point out that although this application is a banking one and it is assumed that data security for this type of application needs to be achieved as efficiently as possible, it presents some vulnerabilities that can harm both the bank and its customers.

Therefore, the result obtained is represented in the following figures:

Conclusions

With the emergence of new technologies, securing systems to attacks is becoming increasingly important and complex in the banking sphere.The security measures adopted in this area promise to ensure the security, confidentiality and integrity of data, but these in turn may have some gaps which may affect the field in which they are used.

Thus, following the case study on Transylvania Bank, it can be said that it uses various security methods, protocols and algorithms for data protection as efficient as possible. However, following the test, it has been demonstrated that, BT24 Mobile Banking has certain vulnerabilities.Moreover, these vulnerabilities can easily be identified by attackers and used for illegal purposes, as the binary code of the application can be accessed by anyone.

So all these things are alarming that although this application uses security methods and has various security certificates, vulnerabilities exist.Their presence increases the risk of an attack on the application, which can cause considerable damage.The pages products resulting from an attack directly affect the client using this application because its data is compromised and can no longer be talked about confidentiality.

Therefore, the client needs to be aware of the fact that even in the case of this application, there may be risks in the other, even if it is a banking application and security is increased.

In conclusion, the whole study reveals a clear idea that there is no total security.Even if security is not complete, adopting security methods and security certificates is essential to avoid attacks.

To avoid these attacks and to reduce vulnerabilities, I propose that the solution in this case be avoided to have the binary code of the application on the Internet because it can be converted to Java code and can be modified by specific tools.Also, another solution I propose involves adopting security methods that will not allow validation of the signature if the application has been modified.

Planificarea activității

Tabelul 1. Planificarea activității

Stadiul actual

Descrierea cadrului general și motivarea temei

Efectul tehnologiei,în trecut, a rămas ca un puzzle incomplet. Lipsa atenției sale a evoluat într-un impact mai profund în zilele noastre. Dezvoltările în tehnologie au dus la o schimbare completă a performanțelor băncii și a furnizări de servicii pentru clienți în sectorul bancar.De asemenea,s-a constatat că tehnologia informației(IT) contribuie la dezvoltarea sistemului bancar în trei aspecte diferite,precum:tehnologia informației reduce cheltuielile,economisește timpul clienților și al angajaților și facilitează tranzacțiile în rețea.Astfel,pentru a îmbunătăți calitatea serviciilor oferite și pentru a reduce costurile tranzacțiilor,sistemul bancar a adoptat pe scară largă facilitățiile oferite de această dezvoltare a tehnologiei.[1]

În prezent, necesitățile vieții moderne au scos la lumină faptul că informația pentru organizația modernă este o resursă paralelă de importanță pentru pământ, muncă și capital.Ca urmare a acestui fapt, tehnologia informației a devenit o resursă critică de afaceri, deoarece absența acesteia ar putea avea drept rezultat decizii proaste și, în cele din urmă, eșecuri în afaceri. Tehnologia a deschis noi piețe, noi produse, noi servicii și canale de livrare eficiente pentru industria bancară(ex:e-banking,mobile banking).Tehnologia Informație a oferit, de asemenea, industriei bancare mijloacele necesare pentru a face față provocărilor generate de noua economie.Întrucât,Tehnologia Infomației reprezintă motorul sistemului bancar,ea este menită să crească viteza și fiabilitatea operațiunilor financiare și a inițiativelor de consolidare a sectorului bancar. Creșterile fără precedent a activităților financiare pe tot globul se datorează revoluției Tehnologiei Informației.

Tehnologia Informației,este cea care permite sistemului bancar să îndeplinească nevoile și așteptările clienților care sunt mai exigenți și sunt,de asemenea,mai familiarizați cu tot ceea ce este nou față de clienții din anii anteriori.Aceștia solicită facilități bancare instantanee, oricând și oriunde.Alte cercetări arată că tehnologia informației oferă soluții băncilor pentru a avea grijă de cerințele contabile și de birou.Prin urmare, acest lucru a determinat utilizarea pe scară largă a serviciilor destinate clienților băncilor.Astfel,clientul are posibilitaea de a efectua diferite operațiuni bancare, în cazul în care poate accesa contul său bancar prin intermediul Internetului.

Clienții pot verifica contul curent, pot salva contul, pot transfera bani și pot efectua plăți. Utilizarea serviciului bancar online devine foarte frecventă datorită creșterii utilizării computerelor și a telefoanelor mobile.În ciuda îndoielilor de la prima utilizare, clienții au avut timp să-și adapteze activitățile la această tehnologie. Pe de altă parte, au existat unele gânduri incerte dacă serviciul bancar online este văzut mai degrabă ca un supliment decât ca un produs înlocuitor.Cu toate acestea,majoritatea băncilor oferă servicii online,iar clienții le percep ca fiind foarte utile.Totuși,această dezvoltare a tehnologiei a produs schimbări semnificative in domeniul financiar în urmatoarele trei planuri:

Tehnologia influențează concurența și gradul de competitivitate în domeniul bancar.Ca urmare a faptului că tehnologia a avansat,iar tot mai multe bănci au adoptat aceste schimbări,s-a generat o competitivitate pe piața financiară.

Tehnologia influențează economia de scară.Astfel,companiile aflate în concurență forțează băncile să își micșoreze costurile,iar băncile la rândul lor urmăresc să asigure o structură optimă a afacerii.

Tehnologia influențează economia de livrare a serviciilor bancare.Prin urmare,tehnologia are un rol esențial asupra modului în care serviciile banacare sunt livrate.Mecanismele de livrare disponibile sunt:Internet,ATM,etc. [2]

Pe lângă schimbările produse în domeniul financiar,avansarea tehnologiei a generat schimbări în ceea ce privește securitatea datelor.Utilizarea Internetului ca mijloc de accesare a serviciilor bancare a produs noi probleme privind securizarea tranzacțiilor online.Pentru ca informația să fie securizată este nevoie de implementarea unor măsuri specifice,măsuri care trebuie să asigure protecța informațiilor împotriva pierderii,distrugerii sau divulgării neautorizate.Conceptul de securizare al informației se referă la capacitatea de a asigura integritatea,confidențialitatea și disponibilitatea datelor.În ceea ce privește integritatea,există metode prin care informațiile sunt prelucrate cu acuratețe.Confidențialitatea asigura accesul la infomație doar persoanelor autorizate.Disponibilitatea permite utilizatorilor accesul la informații în momente oportune.[4]

De asemenea,evoluția tehnologiei in domeniul bancar atrage noi ricuri pentru care băncile trebuie să implementeze noi măsuri de control.Totodată,această evoluție este însoțită și de măsuri tehnice de securizare realizate de către producătorii de echipamente.Dacă evoluția tehnologică crește exponențial,componenta umană rămâne neschimbată,fapt care v-a concluziona cu ideea că securitatea informației nu se poate realiza numai prin măsuri tehnice,omul având o contribuție importantă în acest sens.În deosebi,incidentele de securitate se datorează unei gestionări necorespunzătoare a riscurilor și mai puțin din cauza unor defecte tehnice.[4]

Așadar,sistemul bancar trebuie să își formeze o imagine de ansamblu asupra riscurilor care pot aparea prin utilizarea noilor tehnologii,să gestioneze corespunzător aceste riscuri,să informeze personalul despre aceste riscuri,metodele de gestionare și de control a acestora și să aducă la cunoștință gravitatea lor.[4]

Făcând o timitere la ceea ce s-a prezentat mai sus,m-a determinat să abordez ca temă de licență:”Analiza securității sistemelor de Internet Banking”,iar evoluția tehnologiei informației în domeniul financiar mi-a accentuat dorința de a descoperi metodele de securizare a datelor utilizate de către bănci în serviciul de Internet Banking.

Deoarece, tot mai multe bănci abordează ideea de a oferi servicii care presupun o conectare la Internet,riscurile unor atacuri cresc considerabil.La ora actuală,discuțiile despre prevenirea și combaterea acestor atacuri au ajuns la un nivel în care securizarea datelor să presupună un interes deosebit.Sistemul de securizare trebuie în așa fel proiectat încât să nu existe vulnerabilițăți care pot fi exploatate ușor de atacatori.Însă,dependența de sistemele informaționale avansate sporește creșterea vulnerabilității sistemelor,iar domeniul bancar trebuie să le facă față prin realizarea unui program de securitate.

Astfel,pentru a realiza un program de securizare al datelor eficient,întregul sistem bancar trebuie să dispună de politici,practici,standarde,descrieri de sarcini și responsabilități și nu în ultimul rând de o arhitectură generală a securității.Mai mult decât atât,programul de securizare urmărește obiectivele specifice ale securizării și de asemenea obiectivele sistemului bancar cu privire la securizarea datelor.Deși,în prezent,sistemul bancar utilizează mecanisme de securizare și încearcă să țină pasul cu noile metode de securizare apărute,atacurile nu întârzie să apară.Acest lucru se datorează faptului că,la fel ca sistemul bancar și atacatorii sunt informați cu privire la noile metode de securitate a datelor ceea ce sporește interesul acestora in colectarea datelor respective.În plus,posibilitatea utilizării facilităților generate de către evoluția tehnologiei le conferă atacatorilor un cadru propice pentru a se documenta,explora și acționa.În primul rând,aceștia caută într-un sistem de securitate punctele cele mai slabe,de unde pot cu ușurință să extragă date importante.De aceea,este foarte important ca persoanele responsabile cu întreținerea sistemului de securitate să cunoască punctele vulnerabile din sistem și să încerce,pe cât posibil remediere lor.În general,atacurile in sfera bancară sunt:phishing,pharming,atacuri bazate pe Malware și atacuri bazate pe DDoS,iar tehnica de operare aleasă de atacatori depinde de scopul atacului.[3]

Un lucru foarte esențial în domeniul financiar este reprezentat de modul în care datele clienților sunt protejate sau mai exact responabilitatea de asumare a băncii în cazul în care datele clientului sunt extrase în urma unui atac.Acest lucru se află pe masa discuțiilor,deoarece asumarea și ulterior recuperarea prejudiciilor depinde de valoarea,importanța datelor și costurile de recuperare.De cele mai multe ori,datorită unor costuri foarte mari datele pierdute nu mai sunt recuperate,iar clientul este cel care rămâne în pierdere.

În prezent,de cele mai multe ori,instituția bancară se eliberează de aceste responsabilități ca urmare a unei legislații precare,care nu obligă instituția să raspundă penal în cazul în care datele clientului sunt furate.Acest fapt devine din ce în ce mai îngrijorător și se amplifică pe masură ce statisticile privind fraudele din sfera bancară ating cote alarmante.[3]

În continuare,pe baza celor relatate anterior și pentru a-mi susține alegerea temei voi prezenta scopul lucrării de diplomă.

Scopul lucrării de diplomă

Scopul acestei lucrări de diplomă este de a analiza securitatea în domeniul bancar,mai exact securitatea sistemelor de Internet Banking și metodele de securizare utilizate de către sistemul bancar în vederea protejării informațiilor confidențiale.

Pentru a da finalitate lucrurilor am fixat obiectivele secundare ale lucrării de diplomă,după cum urmează:

De a oferi o imagine de ansamblu în ceea ce privește evoluția Tehnologiei Informației(IT),impactul său asupra sistemului bancar,asupra securizării informației și asupra serviciilor bancare,în special asupra Internet Banking-ului;

De a studia și de a oferi o imagine clară despre serviciile actuale oferite de sistemul bancar.Prezentarea în detaliu a serviciilor bancare și accentul pus pe Internet Banking;

De a studia și de a prezenta particularitățile serviciilor de Internet Banking(protocoale,entități);

De a studia și a prezenta riscurile care apar in sistemul bancar,metodele de gestionare și de control a acestora;

De a studia și a prezenta fraudele raportate in sistemul bancar;

De a studia și a compara mecanismele de securizare a datelor adoptate în sfera bancară;

De a studia și de a pezenta serviciile de Internet Banking furnizate de o bancă din România,care se continuă cu relizarea studiului de caz privind securitatea serviciilor de Internet Banking furnizate de banca în discuție.Acest studiu de caz se bazează pe datele prezentate de bancă și realizarea unei testări amănunțite utilizând o mașină virtuală care va conține ca sistem de operare Android-ul și anumite instrumente specifice pentru realizarea acestor test.

Astfel,în cadrul lucrării de diplomă am realizat un studiu de caz privind serviciile de Internet Banking furnizate de o bancă din România.În prima parte,am realizat o introducere în sistemul bancar din România și modul în care acesta s-a dezvoltat sub influența evoluării tehnologiei,serviciile pe care acesta le oferă clienților,metodele de securitate abordate pentru aceste servicii,mai exact calitatea și siguranța pe care serviciile bancare din România o asigură cilenților.

Apoi,atenția mi-a fost îndreptată asupra modului în care această bancă,în discuție realizează: criptarea datelor, integritatea datelor,înregistrarea clienților,autentificarea clieților,schimburi de informație cu clienții,etc.Prin acest studiu de caz,se va evalua platforma web și aplicația oferită de această bancă,modurile în care ele sunt expuse și prezentate clienților și de asemenea,punctele forte și punctele slabe ale acestora.De asemenea,acest studiu de caz,prin prezentarea serviciilor pe care această bancă le oferă,are drept scop informarea clientului cu privire la: aspectele de securitate,ceea ce implică modul în care acesta trebuie să acceseze site-ul băncii,astfel încât datele furnizate de el să rămână în siguranță,datele care sunt publice și nu presupun un posibil atac dacă se cunosc,datele secrete care nu trebuie divulgate,modurile de autentificare,etc.

Structura și organizarea lucrării de diplomă

Figura 1.Organizarea lucrării de diplomă

Fundamentare teoretică

Introducere

Expansiunea noilor tehnologii informatice a produs schimbări semnificative asupra majorității domeniilor de activitate,dar în special asupra serviciilor financiar-bancare.Mai mult decât atât, sectorul bancar este restructurat de globalizare,competiție și inovare și de nevoile clienților.Odată cu apariția unei economii bazate pe cunoaștere și a unei societăți în care Tehnologia Informației și a Comunicațiilor(TIC) a avansat,sectorul bancar a suferit multe schimbări în ultima perioadă.[5],[7]

Tehnologia Informației și a Comunicațiilor(TIC) reprezintă cel mai important factor în ceea ce privește dezvoltarea sistemului bancar,permițând băncilor sa creeze produse sofisticate,să aibă o infrastructură de piață mai bună și să ajungă pe piețe îndepărtate și diversificate.De asemenea,nevoile și cererile bancare ale consumatorilor s-au schimbat semnificativ în ultimele trei decenii.Aceștia necesită produse și servicii bancare mai personalizate și se așteptă ca acestea să poată fi utilizate în orice moment și în orice loc.

În ultimii ani natura bancara s-a schimbat,ceea ce se putea întâmpla numai în sucursale se poate întampla azi oriunde în lume, în orice moment și prin orice canal de livrare pe care clientul îl alege(ATM,telefon personal,computer).[5],[7]

Astfel,rețeaua bancară tradițională bazată pe o infrastructură de natură fizică este amenințată de tehnologiile informaționale reprezentate de formele automatizate de interacțiune cu clientul(internet banking,mobile banking)care implică costuri relativ scăzute.[5]

Prin urmare,dezvoltarea noilor tehnologii a dus la modificări in aria strategiilor bancare,iar sucursalele bancare au început să piardă teren în fața serviciilor bancare virtuale.[5]

Globalizarea,concurența,schimbarea tendințelor sociale și apariția TIC au provocat o restructurare in ceea ce privește industria bancară.Inițial,această dezvoltare informațională a fost considerată de către băncile dezvoltate din intreaga lume ca fiind o posiblitate de a realiza noi canale de distribuție pentru serviciile existente.[5]

Sectorul bancar s-a adaptat la noile tehnologii și împreuna cu producătorii de tehnologie s-au focusat pe dezvoltarea și crearea de profituri.Creșterea complexitătii serviciilor bancare electronice a dus la o extindere semnificativă a clienților și la o satisfacție a nevoilor cerute de aceștia.În plus,sectorul bancar formulează constant cereri pentru noi tehnologii pentru a satisface cilenții familiarizați cu tot ceea ce este actual.[5]

Evoluția accelerată a metodelor din sistemul bancar a necesitat o dezvoltare rapidă și diversificată a sistemelor de protecție și securitate a datelor.

Printre serviciile bancare electronice regăsim:Internet Banking-ul,Home Banking-ul și Mobile Banking-ul.În principiu,toate cele trei servicii oferă clientului băncii,cam aceleași facilități diferențele fiind date de libertatea de mișcare oferită și canalul de comunicare cu banca,astfel:

Internet Banking-ul,cunoscut sub denumirea de serviciu bancar online se bazează pe o conexiune la Internet,care este de fapt canalul prin care se desfășoara întreaga activitate bancară.Acest serviciu,pus la dispoziție de către bănci poate fi utilizat atât de persoane fizice cât și de persoane juridice în vederea efectuării anumitor operațiuni bancare prin utilizarea unui calculator conectat la Internet.De asemenea,accesul la acest serviciu este asigurat în permanență,24 de ore pe zi,iar costurile operaționale si tranzacționale in cadrul acestui serviciu sunt mult mai scăzute decât în cardul serviciilor bancare obișnuite.Prin utilizarea Internet Banking-ului,clienții pot efectua plăți on-line prin ordine de plată,pot transfera interbancar sume între conturile proprii de card,pot realiza plăți valutare interne sau externe ,pot efectua plata unor facturi,sau pot vizualiza în permanență soldurile conturilor personale.

În general, Internet Banking-ul poate fi accesat printr-un navigator web (Chrome, Opera,Firefox) la o adresă de site securizată, de tipul https pusă la dispoziție și întreținută de către bancă.Pentru conectarea și folosirea acestui serviciu,clientul solicită serviciul la bancă.Ca urmare a acestei solicitări,clientul primește un dispozitiv de securitate numit token,care generează un cod unic.Împreună cu acest cod unic și cu datele stabilite inițial cu banca,clientul se poate autentifica în sistem și poate realiza diferite tranzacții.O altă metodă prin care clientul se poate autentifica este prin utilizarea unui username și a unei parole în care securitatea este dublată prin transmitere unui cod unic prin SMS la numărul de telefon menționat în contul personal.[6]

Home Banking-ul este un serviciu bancar bazat pe instalarea unei aplicații speciale pe calculatorul clientului prin intermediul căruia acesta poate comunica cu banca fie printr-o conexiune modem-modem,fie prin intermediul Internetului.Acest serviciu se poate accesa folosind un navigator web la o adresă pusă la dispoziție de către bancă.Diferența între acest serviciu si cel de Internet Banking constă in faptul că acesta necesită o instalare locală a unui certificat de securitate.Certificatul de securitate se obține în urma unei solicitări realizate de către client care se adresează băncii,iar ca răspuns în urma solicitării, banca va trimite clientului două documente:primul document va conține username-ul si parola de conectare la contul de online banking,iar cel de-al doilea document va conține informații unice despre modul în care se poate obține și instala acest certificat.Accesând site-ul bănci,clientul inițiază cererea de securitate introducând datele din cel de-al doilea document și astfel certificatul este asimilat unei chei virtuale,fiind implementat direct în navigatorul web.[6]

Mobile Banking-ul reprezintă o noutate în ceea ce privește serviciile bancare,utilizând telefonul mobil ca mijloc prin care se accesează aplicația financiară deținută de către bancă.Operațiunile bancare prin intermediul telefonului mobil s-au dezvoltat foarte mult în ultima perioadă și ca urmare a acestui fapt, în prezent se pot efectua operații bancare din orice loc și în orice moment cu ajutrul dispozitivului mobil.Pentru a dispune de acest serviciu,clientul va trimite o solicitare băncii,iar în urma acestei solicitări va primi date cu ajutrul cărora se va putea conecta și va putea realiza tranzacții de pe telefonul mobil.În ceea ce privește operațiunile de mobile banking,se poate afirma faptul că acestea sunt încă în stadiul de dezvoltare,dezvoltare care va conduce la o amplificare a acestui sistem care se află într-o continuă concurență cu serviciul de Internet Banking.[6]

Ca urmare a celor prezentate mai sus și ca o referință la titlul lucrări,în continuare,atenția va fi îndrepta asupra Internet Banking-ului și a particularitățile sale.

Particularități ale serviciilor de Internet Banking

În ceea ce privește particularitățile serviciilor de Internet Banking voi face referire la:standarde/protocoale și entități implicate în cadrul acestui serviciu bancar.

Protocoale utilizate în Internet Banking

Internet Banking-ul,cum am precizat anterior folosește ca mediu de comunicare cu banca Internetul,rețea care prin definiție nu asigură securitatea datelor transmise prin intermediul ei.Pentru ca datele să fie protejate,navigatoarele web (World Wide Web) tratează chestiunile legate de securitate prin intermediul mai multor protocoale cum ar fi:SSL,TLS,SET,3DS.

Protocolul SSL(Secure Sockets Layer)

Protocolul SSL(Secure Sockets Layer) este utilizat în majoritatea tranzacțiilor securizate prin Internet.În esență,acest protocol realizează o conexiune securizată între un client și un server prin care se pot transmite în siguranță date.Aflat sub stratul protocoalelor nivelului aplicație(HTTP,Telnet) și deasupra nivelului transport pe care se află protocolul TCP/IP,scopul protocolului SSL este de a asigura confidențialitatea datelor,integritatea mesajelor și autentificarea.În plus,pentru criptarea datelor,protocolul SSL utilizează un sistem de criptare cu două chei,dintre care:o cheie publică și o cheie privată,cunoscută doar de destinatarul mesajului.Motivul pentru care se utilizează un sistem de criptare care include atât chei publice cât și chei private se datorează vitezei relativ scăzute a criptării cu chei publice în comparație cu modul de criptare cu chei private.Protocolul SSL se divide în două nivele,astfel:

La un prim nivel(nivelul cel mai de jos),plasat deasupra protocolului TCP se regăsește protocolul SSL Record,care se ocupă cu securitatea și integritatea datelor

La un nivel superior regăsim protocoale care se ocupă cu stabilirea conexiunii SSL,precum:SSL Handshake Protocol,SSL Cipher Change Protocol și SSL Alert Protocol.[8],[9],[10]

Figura 2.Arhitectura protocolului SSL

Protocolul TLS(Transport Layer Security)

Protocolul TLS(Transport Layer Security) este un protocol de securitate,fiind utilizat pentru crearea unui standard,în ceea ce privesc comunicațiile private.De asemenea,acest protocol permite clientului/serverului să comunice de așa manieră încât datele transmise nu pot fi interceptate.

În plus,protocolul TLS urmărește securitatea criptografică,interoperabilitatea,extensibilitatea și eficiența relativă.Pentru ca aceste obiective să se poată realiza protocolul TLS se împarte în două nivele,astfel:

Protocolul de înregistratre TLS,care realizează o conexiune privată între client și server prin utilizarea unor chei de criptare simetrice.

Protocolul TLS handshake,care permite o comunicare autentică între client și server,permițând acestora să vorbească același limbaj și să stabilească de comun acord algoritmii de criptare si cheile de criptare înainte ca datele să fie transmise.[8],[9],[10]

Figura 3.Arhitectura protocolului TLS

Protocolul SET(Secure Electronic Transaction)

Protocolul SET(Secure Electronic Transaction) este un protocol destinat să asigure tranzacții securizate cu carduri de credit prin intermediul Internetului și să asigure părțile implicate în aceste tranzacții.Dezvoltat de către VISA și MasterCard,acest protocol contribuie la îmbunătățirea încrederii consumatorilor cu privire la modul în care datele sunt securizate.De asemenea,protocolul SET utilizează certificate de criptografie și certificate digitale pentru a asigura confidențialitatea datelor,a asigura integritatea lor și autentificarea comercianților. În plus ,modelul SET conține patru tipuri de participanți,precum:emitentul cardului, consumatorul, comerciantul și achizitorul de comercianți.În ceea ce privește tranzacția electronică securizată se utilizează:

Chei publice pentru criptarea si decriptarea informațiilor,împreună cu certificate digitale și semnături digitale pentru autentificarea comercianților

Certificate digitale pentru a identifica dacă comercianții și consumatorii sunt autorizați

Criptarea datelor cu chei publice,care asigura confidențialitatea informațiilor de natură personală și financiară

Certificatele digitale ale comerciantului,cu ajutorul cărora consumatorii sunt informați cu privier la faptul că acesta este un comerciant legitim.

Mai mult decât atât,odata cu dezvoltarea tehnologiei, au aparut noi versiuni mai simple ale protocolului SET cum ar fi 3D SET.[9]

Protocolul 3DS(3D-Secure)

Protocolul 3DS(3D-Secure) a fost dezvoltat inițial de către Arcot System(CA Tehnologies) și implementat ulterior de către Visa și MasterCard cu scopul de a accelera creșterea comerțului electronic prin îmbunătățirea securității plăților prin Internet.Versiunea adoptată de către Visa este cunoscută sub denumire de “Verified by Visa”,iar cea adoptată de către MasterCard se numește “MasterCard SecureCode”.De asemenea,conceptul de bază al protocolului este de a realiza o legatură între procesul de autorizare și cel de autentificare online.În ceea ce privește autentificarea,are loc o confirmare a faptului că persoana care inițiază o tranzacție este deținătorul de card legitim și autentic,iar în cazul autorizării se încearcă validarea faptului că deținătorul cardului are dreptul de a iniția o tranzacție.

Această autentificare online este constituită pe relațiile dintre trei domenii,de unde și denumirea de 3DS.Cele trei domenii constituente sunt:

Domeniul achizitor,care constituie relația dintre comerciant și cumpărător

Domeniul emitentului,cuprinde relația dintre proprietarul cardului și emitent

Domeniul de interoperabilitate,implică relația dintre domeniile achizitorului și emitent

Mai mult decât atât,o tranzacție care folosește Visa sau MasterCard va realiza o redirecționare spre site-ul web al băncii care a emis cardul pentru ca tranzacția să poată fi autorizată.Metoda de autentificarea,cel mai des folosită de către emitentul cardului se bazează pe o parolă care este legată de card.În plus,Visa recomandă ca pagina de verificare a băncii să poată fi încărcată într-o sesiune de cadre inline totul pentru ca sistemele băncii să fie responsabile cu problemele legate de securitate.[11],[12],[13]

Entități implicate în comerțul electronic utilizând serviciul de Internet Banking

Există mai multe entități în ceea ce privește comerțul online,printre care:

Băncile

Pentru a răspunde la creșterea tranzacțiilor și a operațiilor online, băncile și-au îmbunătățit infrastructura pentru a permite noi metode de acces și pentru a spori securitatea. Această infrastrctură,include în continuare subsisteme care nu se mai fabrică, și se estimează că la nivel global, din totalul cheltuielilor pentru IT, 70-87% revin pentru mentenanță și nu pentru achiziții de sisteme noi. Accesul online a crescut semnificativ intensitatea traficului,iar o întrerupere(cum ar fi închiderea Royal Bank of Scotland din 2012) ar putea împiedica milioane de utilizatori din a accesa conturile, scăzând reputația băncii respective.[8]

Intermediarii de plată

Acești intermediari transformă cereri de achiziții în instrucțiuni financiare pentru bănci, și oferă funcții de agregare, gateway și procesarea plăților. În unele cazuri, aceștia administrează și securitatea infrastructurii de plată.[8]

Agregatorii

Sunt companii specializate în colectarea, integrarea, sintetizarea și prezentarea online a datelor consumatorului obținute din mai multe surse. Scopul este de a scuti clienții de administrarea multiplelor parole de la toate site-urile care au conturile lor financiare, prin înlocuirea cu o singură parolă la un site de unde pot să-și recupereze toate datele simultan.Astfel,agregatorii pot efectua anumite funcții bancare. [8]

Gateway-uri

Acestea permit comerciantului comunicarea cu multiple bănci, pentru acceptarea diferitelor scheme bancare, cum ar fi carduri multifuncționale sau portmoneul electronic, astfel operațiunea de plată fiind aproape automată. Unele dintre gateway-urile de plată ajută comerciantul să identifice factorii de risc pentru a rezolva cererile clienților despre plățile refuzate.[8]

Procesoare de plată

Acestea verifică detaliile cardului, autentifică titularul de card și cer autorizație pentru tranzacții, după care transmit decizia băncii către comerciant. [8]

Autorități de Certificare și Manageri de servicii de încredere

Acești intermediari sunt parte a infrastructurii de securitate a plăților online. Ei certifică clienții, produc chei și administrează portmonee virtuale și electronice. Aceste funcții pot duce la noi roluri legale, cum ar fi notari electronici sau terți ”de încredere”.Managerii de servicii de încredere sunt terții care distribuie informația securizată (chei criptografice și certificate) pentru servicii și administrează ciclul de viață al aplicației de plată, îndeosebi în aplicații mobile. Operațiile pe care le administrează includ descărcarea sigură a aplicațiilor pe telefoanele mobile,personalizarea, blocarea, deblocarea și ștergerea aplicațiilor în funcție de solicitările unui utilizator sau unui furnizor de servicii.[8]

Furnizori și producători

Oferă capabilități de administrare a plăților și a securității precum și intefața către gateway-uri. Alte funcții incluse,sunt:administrarea de discounturi, cupoane de reduceri sau puncte de recompensă. Stocarea și protecția datelor este un aspect important al sistemelor de comerț electronic.[8]

Identificarea și analiza riscurilor

Odată cu dezvoltarea tehnologiei și a apariției serviciilor bancare online,băncile se confruntă cu riscuri din ce în ce mai mari în ceea ce privește activitatea electronică.Ca urmare a acestui fapt,în continuare voi prezenta riscurile identificate de către bănci și metodele lor de abordare în ceea ce privește controlul acestora.

Analiza,gestionarea și controlul riscurilor

Din punctul de vederea al activităților electronice,există atât riscuri clasice cât și riscuri noi precum: riscul operational(riscul de securitate,riscuri legate de proiectarea,implementarea și întreținerea sistemelor,riscuri apărute datorită folosirii necorespunzătoare de către clienți a produselor și serviciilor bancare),riscul reputațional,riscul juridic,riscul de credit,riscul de dobânzi,riscul de lichiditate,riscul de piața,riscul de management,etc.

Analiza riscurilor

Riscul operațional se produce în urma unei pierderi apărute la nivelul integrități și durabilității sistemului.De asemenea,acest risc poate apărea din utilizarea incorectă a sistemelor de bancă electronică sau din implementarea necorespunzătoare a acestor sisteme.Din acastă clasa de riscuri face parte:

Riscul de securitate.Datorită capacităților dezvoltate ale calculatorului și folosirii diverselor căi de comunicații publice,cum este Internetul,controlul asupra sistemelor băncii a devenit din ce în ce mai dificil.De asemenea,realizarea unui control necorespunzător asupra sistemului sporește apariția atacurilor săvârșite de hackeri care operează prin intermedul Internetului și pot extrage informații confidențiale despre clienți,iar lipsa acestui control poate conduce la virusarea întregului sistem de o persoană răufăcătoare.Mai mult decât atât,pe lângă aceste atacuri externe produse de persoane necunoscute,pot apărea și atacuri interne din partea angajaților,precum:utilizarea unor date de autentificare pentru a accesa contul clienților sau pentru furtul cardurilor;[14],[15],[16]

Riscuri legate de proiectarea,implementarea și întreținerea sistemelor.Banca este expusă riscului încetinirii sau chiar întreruperii sistemului dacă banca electronică sau banii electronici nu sunt în concordanță cu nevoile clientului;[14],[15],[16]

Riscuri apărute datorită folosirii necorespunzătoare de către clienți a produselor și serviciilor bancare.Acest risc apare de cele mai multe ori atunci când banca nu oferă informații clienților cu privire la modul în care aceștia pot să își păstreze datele în siguranță.Datorită acestui fapt,o mare parte dintre clienți pot folosi date personale în tranzacții neautorizate ceea ce va cauza băncii pierderi considerabile.[14],[15],[16]

Riscul reputațional are o importanță deosebită pentru întregul sistem bancar și apare în urma unei pierderi majore de încredere a publicului asupra tuturor serviciilor pe care le oferă,fapt care va duce în cele din urmă la întreruperea activității.

Riscul jurdic apare datorită nerespectării cerințelor legale,reglementărilor sau drepturilor clienților.Acest risc,apare de cele mai multe ori în sistemul bancar electronic și se amplifică odată cu noi utilizări.De asemenea,neprotejarea datelor personale ale clienților sau utilizarea necorespunzătoare a acestora de către personalul băncii constituie riscuri juridice grave pentru bancă.

Riscul de credit apare datorită unei neachitări în totalitate a unei obligații de plată la termenul stabilit.De asemenea,băncile care oferă credite debitorilor care solicită credite prin canale electronice,bazându-se pe metode de verificare neadecvate a credibilițății acestora,se expun unor riscuri majore.

Riscul dobânzii se referă la expunerea condițiilor financiare ale unei bănci la mișcările adverse ale ratelor dobânzilor.

Riscul de lichiditate ia naștere datorită incompetenței băncii de a-și achita obligațiile la data scadentă.

Riscul de piață semnifică riscul pierderilor înregistrate în pozițiile din interiorul și din afara bilanțului datorită variației prețurilor de pe piață, inclusiv ratele de schimb valutar.

Riscul de management reprezintă un proces de administrare a riscurilor care presupune: evaluarea riscului, controlul expunerii la risc și monitorizarea riscurilor.Acest proces de gestionare contribuie la formarea unei imagini transparente asupra riscurilor.[14],[15],[16],[19],[20]

Gestionarea și controlul riscurilor

Dupa stabilirea riscurilor,banca are datoria de a le gestiona si controla.Acest proces de gestionare și de control presupune:

Abordarea unor politici și măsuri de securitate,în care termenul de securitate înglobează o serie de sisteme, aplicații și control intern,contribuind astfel la protejarea datelor.De asemenea,politica de securitate dezvăluie intențiile de susținere a securității informației, modul de organizare al securității abordat de bancă și indică principalele căi care definesc toleranța riscului de securitate al băncii.În plus,politica de securitate expune responsabilitățile cu privire la modelarea,implementarea și întărirea măsurilor de securitate;

Comunicarea internă se poate desfășura în condiții normale dacă toate procedurile sunt prevăzute în scris.De asemenea,conducerea trebuie să organizeze o sedință de educare a personalului cu privire la noile tehnologi adoptate pentru a reduce riscul operațional,iar personalul tehnic trebuie să informeze conducerea cu privire la structura sistemului și modul de funcționare al acestuia;

Evaluarea produselor și serviciilor înainte de expunerea lor pe piață contribuie la reducerea riscului atât operațional cât și reputațional.În plus, prin evaluarea sistemelor se poate determina dacă rezultatele care le furnizează sunt cele dorite.

În același timp,pe lângă procesul de gestionare și de control,conducerea băncii trebuie să utilizeze o infrastructură optimă,să reglementeze toate activitățiile desfășurate și să desemneze persoanele responsabile de supravegherea și autorizarea activitățiilor.

Mai mult decât atât,pentru a funcționa în condiții optime,comerțul electronic necesită o infrastructură adecvată,care cuprinde elemente precum:infrastructură tehnică,interfața cu elementele comerciale și un sistemu juridic.

Infrastructura tehnică cuprinde sistemele hardware,sistemele software și rețeaua de comunicații,fiind motorul comerțului electronic.

Interfața cu elementele comerciale,în care pilonul central este banca,presupune o conexiune securizată între bancă și utilizator.

În ceea ce privește cadrul juridic,Parlamentul European a adoptat directive care reglementează acest domeniu.[14],[15],[16],[20]

Ca urmare a ceea ce a fost prezentat mai sus,în continuare se va pune accentul pe depistarea fraudelor raporate la bănci.

Indici pentru depistarea tentativelor de fraudă raportat la bănci

Termenul de fraudă se poate defini ca o înșelăciune comisă de cineva,de obicei pentru a realiza

un profit material de pe urma altcuiva sau mai exact frauda reprezintă un act de rea-credință

săvârșit de cineva.De asemenea, fraudele sunt săvârșite de persoane și organizații pentru a obține

bani, bunuri sau servicii,pentru a evita plata sau pierderea de servicii,sau pentru a obține

avantaje personale sau de afaceri.Astfel,frauda afectează organizațiile în mai multe domenii

precum:domeniul financiar ,operațional și psihologic.

Domeniul financiar. Fraudele au un impact negativ asupra întregului domeniu financiar,iar amploarea la care s-a ajuns este îngrijorătoare.De altfel,frauda este un fenomen în creștere, după cum s-a arătat în numeroase studii realizate de către liderii companiilor internaționale de consultanță în ultimii ani.De asemenea,numărul cazurilor de fraudă a crescut semnificativ ca o consecință a dezvoltării rapide a Tehnologiei Informației și a Comunicațiilor(TIC).Ca urmare a creșterii actelor frauduloase,controlul acestora devine din ce în ce mai dificil atât pentru autoritățile de reglementare cât și pentru conducerea băncilor. Întrucât tehnicile de prevenire a fraudei nu pot opri toți potențialii făptuitori, conducerea băncii ar trebui să se asigure că acest lucru este posibil prin sisteme care să pună în evidență în timp util apariția fraudelor. Acest lucru se realizează prin detectarea fraudelor. O strategie de detectare a fraudei ar trebui să implice utilizarea unor proceduri analitice și de altă natură pentru evidențierea anomaliilor și introducerea unor mecanisme de raportare care să prevadă comunicarea actelor frauduloase suspectate. Elementele cheie ale unui sistem cuprinzător de detectare a fraudei ar include raportarea excepțiilor, exploatarea datelor, analiza tendințelor și evaluarea continuă a riscurilor. Detectarea fraudei poate evidenția frauda continuă care are loc sau infracțiunile care s-au întâmplat deja.Potențialul de recuperare al pierderilor nu este singurul obictiv al programelor de detectare al fraudelor,ele analizând în detaliu și comportamentul fraudulos care nu este de neglijat. Detectarea fraudelor permite, de asemenea, îmbunătățirea sistemelor interne și a controalelor. Multe fraude exploatează deficiențe în sistemele de control. Prin detectarea unor astfel de fraude, controalele pot fi înăsprite,astfel reducându-se posibilele atacuri.Pentru a realiza o strategie de detectare a fraudei,banca trebuie să cunoscă:zonele în care frauda se poate produce,ce activitate frauduloasă s-ar regăsi în date și ce date sunt necesare pentru a testa indicatorii de fraudă.Pe de altă parte,realizarea strategiei de detectare presupune folosirea unor proceduri analitice cum ar fi:

Calcularea parametrilor statistici (ex:deviații standard,valori ridicate/scăzute).

Testarea golurilor,pentru a identifica valorile lipsă în datele secvențiale în care nu ar trebui să existe niciunul.

Sumarea valorilor numerice,pentru a identifica totalurile de control care ar fi putut fi falsificate.

Validarea datelor de intrare,pentru a identifica momentele suspecte sau nepotrivite pentru înregistrări sau introducere de date.

Testarea duplicat,pentru a identifica tranzacții duplicate, cum ar fi plățile,reclamațiile sau rapoartele privind cheltuielile,etc.

Prin urmare, este important ca băncile să ia în considerare atât prevenirea fraudelor, cât și detectarea fraudei în elaborarea unei strategii eficiente pentru gestionarea riscului de fraudă. Astfel, detectarea și reducerea fraudei reprezintă un domeniu în care instituțiile financiare pot lua măsuri pozitive pentru a reduce pierderile, pentru a-și îmbunătăți imaginea și a oferi o experiență de servicii mai bună pentru clienți.[17],[18]

Mecanisme de securizare

În prezent,securitatea este principala preocupare în fiecare domeniu al vieții și de asemenea,joacă un rol foarte important în sistemul bancar,mai exact în tranzacțiile bancare.Problemele legate de securitate se regăsesc în două situații:

Prima situație este cea în care persoana care realizează frauda poate ajunge direct la sistem,caz în care avem o securitate fizică;

Cea de a doua situație este cea în care persoana care realizează frauda ajunge la sistem prin mijloace electronice,caz în care avem o securitate electronică.

Așadar,luând în calcul cele două situații care pot apărea și valul de amenințări de securitate generate de atacuri,este necesară o politică de securitate care să acopere serviciile de control ale Internet Banking-ului.

Serviciile de control ale Internet Banking-ului

Serviciile de control sunt: confidențialitatea datelor, integritatea datelor, autentificarea,

non-repudierea, controlul accesului, securitatea rețelei, logare și audit, disponibilitatea sistemului, protecția clientului.

Confidențialitatea datelor se referă la protecția datelor importante ale băncii și a sistemelor online și necesită criptare corespunzătoare tipului de risc prezent în rețelele și sistemele sale prin selectarea algoritmilor de criptare în conformitate cu standardele internaționale bine stabilite.Procedurile și facilitățile corespunzătoare pentru gestionarea cheilor criptografice sunt esențiale pentru funcționarea sigură și fiabilă a tuturor sistemelor de securitate criptografice.Dacă datele care sunt transmise prin Internet nu sunt protejate,ele pot fi modificate sau citite de oricine.Astfel,datorită structurii Internetului, confidențialitatea datelor se extind dincolo de transferul de date și include toate sistemele de stocare a datelor conectate, inclusiv unitățile de rețea. Orice date stocate pe un server web pot fi susceptibile de compromitere dacă nu sunt luate măsuri de siguranță corespunzătoare.[9]

Integritatea datelor se referă la exactitatea, fiabilitatea și actualitatea informațiilor procesate, stocate sau transmise între bancă și clienții săi, riscul principal fiind acela că băncile pot fi accesate de oricine,de oriunde și oricând.În plus, arhitectura deschisă a Internetului poate permite celor care dețin cunoștințe și instrumente specifice să modifice datele în timpul unei transmisii. Integritatea datelor ar putea fi, de asemenea, compromisă în interiorul sistemului de stocare al datelor, atât în mod intenționat, cât și neintenționat, în cazul în care controalele de acces adecvate nu sunt menținute. Trebuie să se ia măsuri pentru a se asigura că toate datele sunt păstrate în forma lor originală sau preconizată.[9]

Autentificarea presupune realizarea unor controale de autentificare pentru a stabili identitatea persoanelor implicate în comunicare.De asemenea,în comerțul electronic este necesar verificarea faptului că o anumită comunicare,tranzacție sau cerere de acces este legitimă.[9]

Non-repudierea presupune crearea unei dovezi privind originea sau furnizarea datelor pentru a proteja expeditorul împotriva refuzării false de către destinatar că datele au fost primite sau pentru a proteja destinatarul împotriva unei denunțări false de către expeditor că datele au fost trimise. Pentru a se asigura că o tranzacție este executorie, trebuie să se ia măsuri pentru a interzice părților să conteste validitatea sau să refuze recunoașterea legăturilor sau tranzacțiilor legitime.[9]

Controlul accesului are ca și obiectiv principal asigurarea faptului că se cunoaște cine are acces la anumite mașini și echipamente și că acest acces este controlat de uși de securitate fizică, metode de semnare și ieșire, etc.Dincolo de atacul fizic, însă, este și un atac virtual.Serverele bancare conectate la Internet sunt vulnerabile la diverse tipuri de intruziuni.În plus, dacă părțile neautorizate accesează serverele băncii, acest lucru ar putea pune în pericol și sistemele clienților.Scopul controlului accesului la rețea este de a minimiza aceste riscuri.[9]

Securitatea rețelei face referire la faptul că sistemele bancare afirmă că rețelele nu sunt sigure în sine și că, prin urmare, este necesară încheierea securității la nivelul cererii. Cu toate acestea, într-o rețea deschisă, cum ar fi Internetul, acest lucru nu este posibil, deoarece dispozitivele client care pot fi conectate prin Internet la sistemele unei bănci nu vor avea probabil dispozitive și software de securitate hardware pentru a realiza acest lucru.În prezent, nu există un mecanism acceptat la nivel global pentru a aborda aceste probleme, deoarece protocolul privind tranzacțiile electronice securizate (SET) elaborat de Visa, MasterCard, Microsoft și alții nu a fost acceptat în general.Astfel,standardul Secure Sockets Layer (SSL), care este în esență un mecanism de criptare a liniilor, asigură tranzacțiile de la browser-ul din mașina client la software-ul de Internet din gazdă.În versiunile recente de SSL, unele autentificări sunt furnizate și pe baza certificatelor digitale. Acesta este probabil cel mai bine realizat mecanism de securitate al rețelelor pentru tranzacțiile pe Internet în prezent.[9]

Logare și audit se referă la faptul că înregistrarea tranzacțiilor și a diferitelor schimburi între computere în timpul tranzacțiilor este esențială pentru a furniza o evidență a datelor care au trecut efectiv între aceste mașini în cursul conexiunii.Astfel, accesibilitatea jurnalului de audit reprezintă cheia utilității sale ca instrument de detectare și investigație a activității eronate sau frauduloase.[9]

Disponibilitatea sistemului se referă la faptul că utilizatorii serviciilor de Internet Banking se așteaptă să aibă acces la sistemele online 24 de ore pe zi.Printre considerațiile legate de disponibilitatea sistemului se numără capacitatea, monitorizarea performanței, redundanța și reluarea afacerii.Băncile locale și furnizorii acestora care furnizează produse și servicii prin Internet Banking trebuie să se asigure că au capacitatea de a furniza în mod constant un nivel ridicat de servicii în ceea ce privește hardware-ul și software-ul.[9]

Protecția clientului presupune impunearea unei limitări ale accesului la informație pentru persoanele neautorizate și asigurarea confidențialității datelor. Metoda cea mai comună de restricționare a accesului la date pe Internet este cerințele ID-ului de utilizator și a parolei.În prezent,este vital să protejăm datele împotriva programelor sofisticate care pot replica eforturile de autentificare ale unui utilizator, utilizând un model de coduri concepute pentru a descoperi ID-ul autentic de utilizator și parola atribuite unui anumit utilizator.Această amenințare este, de asemenea, cauzată de posibilitatea de site-uri web de confuzie. Aplicațiile financiare bazate pe aplicații web trebuie să utilizeze măsuri precum limitarea numărului de intrări incorecte și urmărirea tentativelor de acces nereușite pentru a proteja confidențialitatea codurilor de utilizator și a parolelor.[9]

Concluzionând,se poate afirma faptul că fiecre instituție bancară ar trebui să abordeze fiecare dintre aceste obiective de control pentru a asigura un nivel acceptabil de securitate în domeniul sistemelor bancare și de plată pe internet.[9]

Implementarea serviciilor de control pe straturile modelului OSI

Modelul OSI (Open Systems Interconnection) definește modul de comunicare al echipamentelor dintr-o rețea. Acest model este împărțit în șapte nivele, fiecare independent de celelalte.Cele șapte nivele sunt: fizic, legături de date, rețea, transport, sesiune,prezentare și aplicație.[8]

Astfel,aceste servicii de control se pot implementa pe unul sau mai multe straturi ale modelului OSI.Pentru a realiza implementarea unui serviciu trebuie luat în calcul nivelul de protecție care trebuie asigurat.[8]

Astfel că,dacă se dorește protejarea întregului flux de date,implementarea se va realiza la stratul fizic sau la stratul legaturi de date.La stratul fizic pe lângă protecția întregului flux de date se realizează și protecția informațiilor cu privire la modul în care rețeaua este administrată.De asemenea, la nivelul acestui strat întâlnim ca serviciu de criptare confidențialitatea.În plus,dacă implementarea se va realiza la stratul legături de date,iar tehnologia folosită este identică pentru ambele capete,putem spune că avem o criptare end-to-end.[8]

Dacă se dorește protejarea datelor asociate unei subrețele particulare,implementarea va avea loc la stratul rețea.De asemenea,la nivelul stratului rețea are loc protejarea comunicațiilor dintre elementele rețelei,în deosebi pentru protocoalele la care actualizarea tabelei de rutare se realizează automat.[8]

Pentru o protecția selectivă a datelor care nu conțin erori,implementarea va avea loc la stratul transport.La acest nivel, întâlnim servicii, precum:autentificarea, confidențialitatea, integritatea și controlul accesului.[8]

La stratul sesiune nu există servicii de criptare, iar la stratul prezentare întâlnim servicii, precum: confidențialitate, autentificare, integritate și non-repudierea.[8]

Iar în cele din urmă,dacă este nevoie de serviciul de non-repudiere,implementarea se face la stratul aplicație, strat care conține majoritatea protocoalelor de securitate.[8]

Utilizarea tehnicilor criptografice ca metode de control

Criptografia este știința codificării mesajelor, în sensul imposibilității citirii lor de către persoanele neautorizate.Criptarea este utilizată pentru a proteja transmiterea datelor digitale importante în rețelele de calculatoare.Astfel, există două tehnici de criptare de bază și anume:

Tehnica de criptare folosind algoritm simetric(cheie secretă)

Tehnica de criptare folosind algoritm asimetric(cheie publică)[9]

Tehnica de criptare folosind algoritm simetric

În sistemele de algoritmi simetrici, expeditorul și receptorul unui mesaj utilizează fiecare aceeași cheie secretă: expeditorul o folosește pentru a cripta un mesaj, iar receptorul o utilizează pentru a decripta acest mesaj.Cel mai important aspect al criptării utilizând cheie simetrică este faptul că are loc o codare și o decodificare foarte rapidă. În plus, cheile simetrice pot fi generate cu ușurință în comparație cu cheile asimetrice. Așadar,secretul de criptare al cheilor este o metodă considerată ca fiind simplă, dar ea,are o vulnerabilitate crescută prin faptul că ambele părți trebuie să posede aceeași cheie.Cu alte cuvinte, aceeași cheie trebuie comunicată între cele două părți, fără ca cineva să intre în posesia sa, fie din greșeală, fie cu rea intenție. Dacă aceste părți sunt apropiate, șansa de compromis nu este una mare.Cu toate acestea, în cazul în care părțile se află în locații fizice separate, ceea ce se întâmplă cel mai adesea, acestea trebuie să se bazeze pe o terță parte, cum ar fi un sistem de telecomunicații, pentru a distribui cheia secretă între ambele părți fără ca cineva să intre în posesia acesteia.În plus,trebuie remarcat faptul că,criptografia algoritmului simetric, având în vedere cheile secrete comune împărtășite între inițiator și destinatar, nu poate fi utilizată pentru implementarea schemelor de non-repudiere.[9]

În continuare,voi expune un tabel care prezintă principalii algoritmi folosiți pentru criptarea simetrică:

Tabelul 2. Principalii algoritmi folosiți în cripatrea simetrică[8]

Tehnica de criptare folosind algoritm asimetric

În sistemele de algoritmi asimetrici sunt utilizate două chei. O cheie este păstrată în secret și, prin urmare, este menționată ca fiind "cheie privată".Cealaltă cheie este disponibilă pe scară largă pentru oricine care o dorește și este denumită "cheie publică".Cheile private și publice sunt legate matematic, astfel încât informațiile criptate cu cheia privată pot fi decriptate numai prin cheia publică corespunzătoare și invers. Cheia privată, indiferent de sistemul cheie utilizat, este specifică unui sistem informatic. Prin urmare, expeditorul unui mesaj poate fi autentificat ca titular al cheii private de către orice persoană care decriptează mesajul cu o cheie publică.Această proprietate permite implementarea schemelor de non-repudiere.Astfel, criptografia cu chei publice este, prin urmare, un instrument puternic pentru menținerea confidențialității informațiilor,principalul său dezavantaj fiind viteza de operare. Criptografia cu chei publice poate fi astfel utilizată nu numai pentru a asigura confidențialitatea datelor și integritatea mesajelor, dar și autentificarea utilizatorilor și non-repudierea. Un alt pas în autentificare este utilizarea semnăturilor digitale, care pot fi realizate utilizând criptografia cu chei publice.Semnăturile digitale autentifică identitatea unui expeditor, prin caracterul unic al cheii private criptografice.În plus, fiecare semnătură digitală este diferită, deoarece derivă din conținutul mesajului însuși.Combinația dintre autentificarea identității și semnăturile unice conduce la o transmitere care nu poate fi respinsă.[9]

Ca urmare a prezentării celor doi algoritmi de criptare,se poate menționa faptul că indiferent de sistemul cheie utilizat, trebuie să existe controale fizice pentru a proteja confidențialitatea și accesul la cheile private și integritatea tuturor cheilor. În plus, cheia în sine trebuie să fie suficient de puternică pentru aplicația dorită. Rezistența cheii este determinată de lungimea sa. Cu cât ea este mai lungă, cu atât este mai grea descifrarea ei. Cheia de criptare adecvată poate varia în funcție de gradul de sensibilitate al datelor transmise sau stocate. O criptare mai puternică poate fi, de asemenea, necesară pentru protecția datelor care se află într-un mediu deschis, cum ar fi pe un server web, pentru perioade lungi de timp. În prezent, cheile utilizate în mod obișnuit pentru procesele de criptare asimetrice cu cel mai popular algoritm RSA sunt lungi de 1024 de biți.[9]

Implementarea soluției adoptate

Introducere

În sfera bancară, evoluția Tehnologiei Informației are un efect major asupra dezvoltării

unor metode de plăți mai flexibile și a unor servicii bancare mai ușor de utilizat.Prin activitatea

pe care o desfășoară, băncile devin un factor esențial în procesul de dezvoltare al unei economii.

Astfel,pentru ca acest proces să se desfășoare,este necesar ca și băncile să progreseze,progres care le va asigura evoluția pe piață.În ceea ce privește progresul, se poate afirma faptul că sistemul bancar din România, ca și sistemul altor națiuni, avansează în dezvoltarea serviciilor electronice.Adaptarea la sistemul electronic constă în transpunerea informațiilor într-un mesaj electronic care se poate cripta și decripta automat și semna electronic.Mai mult decât atât,această adaptarea la serviciile electronice implică și anumite riscuri de securitate care trebuie luate în considerare.

Din această persectivă, în continuare,o să fac o analiză cu privire la securitatea serviciilor de Internet Banking furizate de o bancă din România, respectiv:Banca Transilvania(BT).

Realizarea studiului de caz

Banca Transilvania(BT)

În prezent, Banca Transilvania este una dintre cele mai importante instituții financiar-bancare din România, aflată în top 10 și una dintre cele mai atractive companii listate la Bursa de Valori București.Pentru a asigura o calitate cât mai bună a serviciilor,BT lucreză permanent la perfecționarea acestora.Cu o cotă de piață de 13,15%,înregistrată în anul 2017, Banca Transilvania este un jucator activ pe piață, devenind, o bancă cunoscută la nivel mondial.De asemenea, BT are în jur de 2,2 milioane de clienți și 7.300 angajați.În multitudinea de servicii pe care această bancă le oferă,regăsim și serviciul de Internet Banking atât pe o platformă online,cât și ca aplicație pe dispozitivul mobil.[22]

În continuare,voi analiza soluțiile de securitate adoptate de această bancă atât pentru platforma web a băncii,cât și pentru aplicația mobilă,urmând ca apoi să realizez anumite test pentru a verifica nivelul de secritate al aplicației pe un dispozitiv mobil ,cu sistem de operare android.

Aplicația web oferită de Banca Transilvania

Platforma web a băncii, care oferă clinților posibilitatea utilizării serviciului de Internet Banking,cunoscut sub numele de BT24 Internet Banking, a luat naștere ca urmare a evoluției tehnologiei și a unor cereri din partea clienților familiarizați cu noua tehnologie.Astfel,cu ajutorul BT24 clienții pot dispune de numeroase servicii fără a fi nevoie să se deplaseze la un sediu al băncii.Utilizând BT24 Internet Banking,clienții pot să:

afle informații privind:conturile curente,conturi de card,credite,depozite,etc.

își personalizeze conturile,adăugând un nume sugestiv

achite facturi

realizeze plăți atât în lei cât și în valută

închidă și să deschidă depozite clasice

trimită și să primească bani prin Western Union

verifice anumite tranzacții aflate în derulare

achiziționeze online roviniete

programeze ordine de plată

reîncarce cartelele telefonice,etc.

De asemenea,BT24 Internet Banking dispune de noi funcționaltăți,precum:

posibilitatea deschiderii online de conturi în lei și valută

reemiterea online a parolei

posibilitatea realizării unor plăți programate în valută și plăți programate către buget

reemiterea online a PIN-ului cardului

esti informat cat timp mai ai până la deconectarea automată din aplicație din motive de securitate,etc.

În plus, BT oferă clienților două metode prin care aceștia pot accesa aplicația web,precum:

o primă metodă de autentificare în aplicație se realizează pe baza unui dispozitiv token

cea de-a doua metodă de autentificare are loc pe baza unui cod unic primit prin SMS

Prin urmare,pentru a dispune de aceste servicii, clienții trebuie să solicite serviciul de Internet Banking într-o sucursală BT.În urma acestei solicitări,clienții primesc din partea băncii un ID(cod de identificare a unei persoane) și o parolă pentru a le permite accesul în aplicație.Așadar,accesul în aplicație se face utilizând ID-ul de logare și parola primite în urma solicitării,parolă care ulterior va fi schimbată de către client,deoarece sistemul impune acest lucru.

De asemenea,dacă clientul deține un dispozitiv token,este necesar ca el să genereze codul unic cu ajutrul acestui dispozitiv,cod care se va introduce ulterior în secțiunea parolă/token.

Figura 4.Prezentarea secțiunii unde se introduce codul unic generat de token

Acest dispozitiv comunică cu aplicația de Internet Banking și generează coduri unice,valabile doar pentru o singură introducere,fiind utilizate atât pentru accesul în aplicație cât și pentru transmiterea unor operațiuni către bancă.Pentru a avea acces la dispozitivul token,clientul trebuie să cunoscă codul PIN(Număr Personal de Identificare) al acestuia,cod care este ales chiar de client cu mențiunea că PIN-ul trebuie să:

fie format din patru cifre

nu conțină patru cifre identice

nu conțină cifre consecutive

Această metodă de abordare este o modalitate în plus de securizare în ceea ce privește accesul în aplicație.Mai mult decât atât,tot ca și metodă de securizare a datelor,BT recomandă clienților schimbarea periodică a PIN-ului.De asemnea,dacă clientul a introdus de cinci ori consecutiv PIN-ul greșit,dispozitivul token se blochează temporar,iar pentru a realiza deblocarea lui,clientul trebuie să contacteze sucursala BT de la care va primi un cod de deblocare al dispozitivului.În

plus,dacă clientul blochează dispozitivul de trei ori,acesta nu mai funcționează și nu se mai poate utiliza pentru accesul în aplicație.

În prezent,această metodă de autentficare pe baza dispozitivului token,este înlocuită de cea de-a doua metodă,care permite autentificarea în aplicație pe baza unui cod primit prin SMS(Serviciul de Mesaje Scurte).Pentru a accesa aplicația,clientul care optează pentru acestă metodă,în prima etapă trebuie să introducă ID-ul și parola,iar dacă datele din prima etapă sunt corecte, în cea de a doua etapă trebuie să introducă codul unic primit prin SMS.Dacă după cele două etape parcurse,clientul nu reușește să acceseze aplicația,aceasta va genera un mesaj conform problemei apărute.De asemenea,după cinci încercări nereușite,accesul în aplicație se va bloca,iar pentru a accesa din nou aplicația clientul trebuie să ia legătura cu banca.

Figura 5.Prezentarea secțiuniilor unde se introduce ID-ul și parola(prima etapă)

Figura 6.Prezentarea secțiunii unde se introduce codul unic primit prin SMS(etapa a doua)

Așadar,BT oferă clientului două metode prin care acesta poate accesa aplicația și dispune de toate serviciile oferite.Dacă clientul folosește una dintre cele două metode și datele introduse sunt corecte se va permite accesul clientului în aplicație și va apărea o pagină principală cu un meniu în care sunt prezentate serviciile pe care clientul le poate folosi,după cum se poate observa în figura următoare:

Figura 7.Prezentarea paginii principale și a serviciilor de care clientul dispune

De asemenea,după o perioadă în care clientul este logat și nu desfașoară o acivitate în aplicație, acesta va fi deconectat automat din motive de securitate.Însă, înainte de a fi deconectat, clientul primește un mesaj cu durata rămasă până la deconectare, precum în figură:

Figura 8.Prezentarea secțiunii în care apare mesajul de informare

La apariția mesajului din figura anterioară,pentru a rămâne în aplicație,clientul trebuie să confirme acest lucru, în sens contrar acesta va fi deconectat și va apărea mesajul din urmatoarea figură:

Figura 9.Prezentarea secțiunii în care apare mesajul care anunță expirarea sesiunii de conectare

Pentru ca accesul la aplicația web și accesul la aceste servicii să se desfășoare în condiții de securitate optime, BT realizeză o certificare SSL a site-ului.Pentru a verifica autenticitatea site-ului, clientul trebuie să verifice prezenta certificatului SSL.Acest lucru se poate realiza apăsând pe textul de culoare verde din bară care conține un lacăt, acțiune care va declanșa afișarea unui mesaj precum se poate observa în figură:

Figura 10.Prezentarea secțiunii în care apare mesajul care confirmă certificarea SSL

Mai mult decât atât,site-ul cu certificare SSL conține prefixul „https://”.

Aceste certificate SSL sunt utilizate de către bancă pentru a securiza datele personale ale clienților, informațiile privind cardurile bancare și alte informații cu caracter privat.Așadar, pentru a realiza securizarea datelor, aceste certificate au la bază protocolul SSL(Secure Sockets Layer) care realizează o conexiune securizată între un client si un server prin care se pot transmite în siguranță date.Acest protocol asigura confidențialitatea datelor, integritatea mesajelor și autentificarea.În plus, pentru criprarea datelor, protocolul SSL utilizează un sistem de criptare cu două chei, dintre care:o cheie publică și o cheie privată, cunoscută doar de destinatarul mesajului.Protocolul SSL se divide în două nivele,astfel:

La un prim nivel(nivelul cel mai de jos),plasat deasupra protocolului TCP se regăsește protocolul SSL Record,care se ocupă cu securitatea și integritatea datelor

La un nivel superior regăsim protocoale care se ocupă cu stabilirea conexiunii SSL,precum:SSL Handshake Protocol,SSL Cipher Change Protocol și SSL Alert Protocol.

Pe lângă certificarea SSL,BT asigură o criptare a datelor pe 256 de biți prin utilizarea algoritmului AES(Advanced Encryption Standard),care deține următoarele specificații:

AES(Advanced Encryption Standard) este un algoritm pentru criptarea simetrică pe blocuri,în care lungimea blocului și a cheii poate lua valori diferite,precum: 128 de biți, 192 de biți, sau 256 de biți.De asemenea,algoritmul AES restricționează lungimea blocului la 128 de biți,dar permite ca lungimea cheii să fie una dintre cele trei dimensiuni.Astfel,în funcție de lungimea cheii utilizate,algoritmul este denumit ca fiind AES-128,AES-192,AES-256.De asemenea,în timpul procesului de criptare,AES trece prin 10 runde specifice unei chei de 128 de biți,12 runde pentru chei de 192 de biți și 14 runde pentru chei de 256 de biți.O rundă constă în mai multe etape de procesare care includ substituirea, transpunerea și amestecarea textului de intrare și transformarea acestuia la ieșirea într-un text cifrat.În plus,toate cele trei dimensiuni ale cheii sunt considerate suficiente pentru a proteja datele secrete.Astfel,acest algoritm s-a dovedit a fi foarte eficient în protejarea datelor secrete,deoarece singurele atacuri practice împotriva AES au fost atacurile canalelor laterale pe punctele slabe întâlnite în implementarea sau managementul cheii al produselor de criptare specifice AES.Mai mult decât atât,AES s-a dovedit a fi un cifru de încredere,deoarece prin utilizarea cheii de 256 de biți pentru a cripta datele, va fi nevoie de 2256 de combinații diferite pentru a descifra un mesaj, ceea ce este practic imposibil să fie realizabil chiar și de cele mai rapide computere.În mod tipic, criptarea pe 256 de biți este utilizată pentru datele în tranzit sau pentru datele care circulă printr-o rețea sau o conexiune la Internet. Totuși, este implementat și pentru date sensibile și importante, cum ar fi date financiare, militare sau deținute de guvern.[21]

Prin utilizarea acestor algoritmi,BT urmărește să ofere o siguranță sporită în ceea ce privește totalitatea datelor stocate în interiorul băncii.

Aplicația pe dispozitivul mobil oferită de Banca Transilvania

Aplicația mobilă a băncii,care oferă clinților posibilitatea utilizării diverselor servicii,este cunoscut sub numele de BT24 Mobile Banking.Prin intermediul acestei aplicații clienții pot dispune de serviciile prezentate anterior,la aplicația BT24 Internet Banking.

Pentru a dispune de serviciul BT24 Mobile Banking,clienții trebuie să-l activeze din aplicația BT24 Internet Banking,din secțiunea „Servicii online” și apoi alegerea opțiunii de „Activare aplicație Mobile Banking”,în urma căreia se va genera un cod unic de activare.După selectarea opțiunii de activare,pentru a avea acces la serviciile prezentate mai sus,clientul trebuie să își descarce aplicația pe telefonul mobil.În funcție de sistemul de operare al telefonului,aplicația va fi descrcată din Google Play pentru Android sau  App Store pentru iOS.Odată ce aplicația a fost descărcată,clientul o poate accesa apăsând butonul „Activare” care permite introducerea codului unic de activare și a codului primit prin SMS,operațiuni care vor fi urmate de introducerea parolei.

Un aspect de securitate prezent în această etapă este reprezentat de faptul că în aplicația BT24 Mobile Banking aceste coduri unice de activare primite,au un timp limitat de utilizare,după care acestea expiră,însă ele se pot genera din nou de către client din aplicația BT24 Internet Banking cum s-a menționat anterior.Pentru a accesa ulterior aplicația,clientul trebuie sa folosească doar parola introdusă de el.

După ce a introdus parola stabilită anterior,accesul în aplicație este cu succes și clientul își poate vedea datele contulului și poate realiza „Operațiuni Rapide”din secțiunea „Acasă”,care se afișeaza chiar pe prima pagină.De asemenea,poate beneficia de serviciile prezente în secțiunile „Plăți”, „Finanțe” și „Utile” din aplicație.În plus,clientul poate vedea mesajele trimise de bancă și poate trimite el mesaje băncii din secțiunea „Mesaje”.

Etapele în urma cărora clientul dispune de serviciile prezente în aplicația BT24 Mobile Banking sunt prezentate în figurile următoare:

Figura 11.Accesul în aplicație folosind butonul de „Activare”

Figura 12.Prezentarea secțiuni de introducere a celor două coduri

Figura 13.Prezentarea secțiuni de stabilire și confirmare a parolei

Figura 14.Prezentarea secțiuni de introducere a parolei

Figura 15.Prezentarea paginii cu datele clientului și operațiunile pe care el le poate efectua

Figura 16.Prezentarea serviciilor din secțiunea „Finanțe”

Figura 17.Prezentarea serviciilor din secțiunea „Plăți”

Figura 18.Prezentarea paginii unde sunt afișate mesajele și se pot adresa mesaje băncii

Figura 19.Prezentarea serviciilor din secțiunea „Utile”

Evaluarea securității aplicației BT24 Mobile Banking

În continuare,pentru a verifica modul în care Banca Transilvania asigură securitatea datelor și pentru a identifica posibilele vulnerabilități,am realizat o analiză asupra aplicației BT24 Mobile Banking.Analiza s-a realizat cu ajutorul unei mașini virtuale,care permite emularea unui dispozitiv cu sistem de operare Android pe care se va instala aplicația în discuție.

Mașina virtuală(VM)

Pentru a realiza analiza aplicației am creat un mediu de testare prin intermediul unei mașini virtuale.Această mașină virtuală este o aplicație software care simulează în totalitate funcționarea componentelor hardware din componența unui sistem informatic.De asemenea,mașina virtuală este creată și simulată cu ajutorul unor aplicații software speciale.În plus,aceasta oferă un substitut pentru o mașină reală și deține funcționalitatea necesară pentru a executa un sistem de operare.În acest caz,am utilizat VirtualBox ca mașină virtuală.

VirtualBox(VB)

VirtualBox(VB) este un pachet de virtualizare software care se instalează într-un sistem de operare ca o aplicație. VirtualBox permite instalarea de sisteme de operare suplimentare pe acesta. În 2010, VirtualBox a fost cea mai populară aplicație software de virtualizare. Sistemele de operare acceptate includ Windows XP, Windows Vista, Windows 7, Mac OS X, Linux, Solaris și OpenSolaris.[23]

Interfața acestei mașini este prezentată în figura următoare:

Figura 20.Interfața VirtualBox

După stabilirea mediului de testare,pentru a putea realiza o analiză cât mai eficientă am utilizat un sistem de operare numit Santoku,care a fost instalat în VirtualBox.

Santoku

Santoku este un mediu Linux preconfigurat și bootabil,care deține o varietate de pachete și aplicații.De asemenea,acesta a fost conceput special pentru criminalistica mobilă,analiza malware mobilă și evaluarea securității mobile.Astfel,Santoku oferă instrumente speciale care ajută în evaluarea securității mobile.Instrumentele oferite de către acesta se clasifică în următoarele categori:

Istrumente de dezvoltare: Android SDK Manager,AXML Printer2,Fastboot,Heimdall,SBF Flash;

Dispozitivul criminalistic:AFLogical Open Source Edition,Android Brute Force, Encryption,lib-iMobile,Sleuth Kit;

Analizoare wireless: DNS Chef,DNS Sniff,TCP Dump,Wireshark,Wireshark (As Root)

Testarea penetrării: Burp Suite,EttercapNmap,SSL Strip,ZAP,Zenmap (As Root);

Ingineria inversă: Androguard,APK Tool,Baksmali,Dex2Jar,JD-GUI,Mercury,Smali. [24]

În continuare,cu ajutorul unei capturi voi prezenta categoriile de instrumente oferite de Santoku.

Figura 21.Categoriile de instrumente oferite de Santoku

Odată ce am stabilit mediul de testare și am instalat sistemul de operare,am trecut la o nouă etapa în care a urmat instalarea aplicației BT24 Mobile Banking.Pentru instalarea acestei aplicații a fost nevoie de un dispozitiv Android,dispozitiv care este emulat în cadrul sistemului de operare Santoku.Pe lângă prezența dispozitivului,pentru ca procesul de instalare să se realizeze este nevoie de codul aplicației,cod care este pus la dispoziție într-un format binar.După alegerea dispozitivului, aplicația a fost instaltă pe acesta,utilizând Android Debug Bridge(adb) care este un instrument de linei de comandă ce perimte comunicarea cu dispozitivul ales.De asemenea comanda adb facilitează o varietate de acțiuni ale dispozitivului, cum ar fi instalarea și depanarea aplicațiilor și oferă acces la un shell Unix.Este un program client-server care include trei componente,precum:

Un client care inițiază comenzi

Un daemon(adbd) care rulează comenzile pe dispozitiv

Un server care gestionează comunicare dintre client si daemon

Astfel,printr-o comandă adb(adb install ro.btrl.mobile_3.5.1.apk) am instalat aplicația BT24 Mobile Banking pe dispozitivul ales.

În continuare,voi prezenta cu ajutorul unor capturi etapele de creare ale dispozitivului,precum și modul în care am instalat aplicația.

Figura 22.Crearea noului dispozitiv

Figura 23.Dispozitivul este creat

Figura 24.Interfața dispozitivului

Figura 25.Instalarea aplicației BT24 Mobile Banking pe dispozitiv

Prin urmare,aplicația a fost instalată pe dispoztivul mobil și urmează să fie evaluată.Pentru ca acestă evaluare să fie cât mai eficientă,vulnerabilitățile aplicației trebuie identificate prin așa numita pentestare(testarea de penetrare mobilă).

Pentestare(testarea de penetrare mobilă)

Pentestarea este o formă de testare de securitate utilizată pentru a analiza securitatea în interiorul unui mediu mobil.Aceasta încearcă să exploateze vulnerabilitățile pentru a determina dacă este posibil accesul neautorizat sau altă activitate rău intenționată.Testarea de penetrare mobilă se împarte în mai multe etape,după cum urmează:

Planificare și recunoștere

În cadrul acestei etape are loc definirea scopului și a obiectivelor unui test,inclusiv sistemele care trebuie abordate și metodele de testare care trebuie folosite. Colectarea de informații pentru a înțelege mai bine modul în care funcționează o țintă și vulnerabilitățile sale potențiale.

Scanarea

În această etapă are loc întelegrea modului în care aplicația raspunde diferitelor încercări de intruziune.Pentru acest lucru se folosesc două analize:

Analiza statică,care presupune inspectarea codului unei aplicații pentru a estima modul în care se comportă în timp ce rulează. Aceste instrumente pot scana întregul cod într-o singură trecere.

Analiza dinamică,care implică inspectarea codului unei aplicații într-o stare de funcționare. Acesta este un mod mai practic de scanare, deoarece oferă o vizualizare în timp real a performanței unei aplicații.

Obținerea accesului

Această etapă folosește atacuri de aplicații web, cum ar fi scriptingul între site-uri, injecția SQL și backdoors, pentru a descoperi vulnerabilitățile țintă.Examinatorii încearcă apoi să exploateze aceste vulnerabilități, de obicei prin escaladarea privilegiilor, furtul de date, interceptarea traficului, pentru a înțelege daunele pe care le pot provoca.

Menținerea accesului

Scopul acestei etape este de a vedea dacă vulnerabilitatea poate fi utilizată pentru a obține o prezență persistentă în sistemul exploatat suficient de lungă pentru ca un actor rău să aibă acces în profunzime. Ideea este de a imita amenințările persistente avansate, care de multe ori rămân în sistem timp îndelungat, pentru a fura datele cele mai sensibile ale unei organizații.

Analiza

Rezultatele testului de penetrare sunt apoi compilate într-un raport care detaliază:

Vulnerabilități specifice care au fost exploatate

Datele sensibile care au fost accesate

Timpul în care dispozitivul de testare a fost în stare să rămână în sistem nedetectat

Aceste informații sunt analizate de personalul de securitate pentru a ajuta la configurarea setărilor WAF ale întreprinderii și a altor soluții de securitate a aplicațiilor pentru a identifica vulnerabilitățile și pentru a proteja împotriva atacurilor viitoare.[25]

Cele cinci etape sunt reprezentate cu ajutorul unei figuri,după cum urmează:

Figura 26.Etapele de testare

Pentru a realiza un test de intruziune este necesară pregătirea planului de testare.Prin urmare,pentru ca această analiză de securitate să ofere informații utile,am realizat un plan de testare care are la bază o imagine de ansamblu asupra atacurilor posibile.De asemenea,acest plan de testare a fost creat luând în considerare ca sistem de operare Androidul.Astfel,planul are următoarea structură:

Figura 27.Structura planului de testare

După cum se poate observa în figura anterioară,există trei suprafețe majore de atac care trebuie analizate în detaliu.De asemenea,pentru fiecare secțiune sunt necesare seturi de instrumente specifice și întelegerea sistemului de operare care urmează să fie atacat.

După instalarea aplicației pe dispozitivul mobil,am realizat teste specifice pentru cea de-a doua secțiune din planul de testare care ajută și la obținerea datelor din prima secțiune.Pentru a întelege seminificația fiecărei secțiuni,în continuare voi descrie cele trei secțiuni ale planului.

Cartografierea aplicației(colectarea informațiilor)

În cadrul aceste secțiuni are loc identificarea modului de funcționare al aplicației și analiza asupra comportamentului acesteia,inclusiv decriptarea acesteia.De asemenea,în această etapă accentul este pus pe identificarea vulnerabilităților potențiale,care contribuie la crearea unui model adecvat de amenințare.

Atacurile clientului(analiza binară)

Această secțiune include analiza binară a fișierelor,care se poate realiza prin depanarea și analiza codului sursă folosind instrumente specifice.Cum am precizat anterior codul aplicației este oferit în forma binară,iar pentru a realiza o analiză a sa,acesta trebuie transformat în cod java.

De asemenea,această secțiune oferă cele mai bune informații cu privire la vulnerabilitățile aplicației evaluate,pe care le voi prezenta în capitolul „Rezultate experimentale”.

Atacurile de rețea(interceptarea traficului)

Acestă secțiune oferă informații despre atacurile de rețea posibile în diferite zone prin interceptarea traficului cu ajutorul unor instrumente specifice.Zonele vizat sunt:autentificarea, autorizarea,managementul sesiunilor,etc.

Rezultate experimentale

Rezultatele experimentale sunt obținute pe baza planului de testare,care include cele trei secțiuni vulnerabile atacurilor.Prin urmare,o să expun rezultatele obținute și instrumentele folosite pentru obținere acestora.După cum am precizat anterior,pentru a evidenția vulnerabilitățile aplicației,accentul s-a pus pe secțiunea a doua,care implică analiza binară.Analiza codului s-a realizat cu ajutorul ingineriei inverse și a unor instrumente specifice.Ingineria inversă reprezintă procesul prin care funcționalitatea unei aplicații este descoperită,adică codul produsului final este descompus pentru a putea fi analizat.În acest caz,această descompunere a presupus trecerea de la codul binar al aplicației la codul java.Acest lucru s-a realizat prin utilizarea unor instrumente specifice,precum:apktool,jd-gui,dex2jar,pe care le voi explica ulterior.

Mai mult decât atât,pentru realizarea acestui test de identificare a vulnerabilităților aplicației BT24 Mobile Banking din secțiunea a doua mi-am propus modificarea logo-ului de pe prima pagină.Acest lucru s-a realizat conform următoarei figuri:

Figura 28.Planul de modificare al logo-ului

În continuare,voi prezenta rezultatele obținute pentru cele două secțiuni din plan:

Decomprimarea

În cazul acestei secțiuni am realizat trecerea de la codul binar al aplicației la codul java,cod care poate fi modificat.Acest lucru a fost posibil prin utilizarea apktool care poate decoda resursele și le poate reconstrui după efectuarea unor modificări.Codul aplicației este în Santoku,deoarece aplicația a fost instalată deja pe dispozitivul mobil.Pentru a vedea acest lucru,în terminalul LXTerminal am rulat comenzile din figura următoare:

Figura 29.Verificarea existenței aplicației pe dispozitiv prin comenzi

Prin comanda pwd am aflat calea directorului de lucru,comanda adb shell îmi permite accesul la nucleul sistemului de operare,iar prin comanda pm list packages pot vedea toate pachetele instalate.În urma ultimei comenzi date a rezultat că aplicația BT24 Mobile Banking este instalată pe dispozitiv conform figurii:

Figura 30.Aplicația este pe dispozitiv

Odată verificat acest lucru,am utilizat comanda adb pull pentru a extrage fisierul apk al aplicației de pe dispozitivul mobil,iar apoi am utilizat terminalul apktool pentru a decoda resursele necesare aflate în format apk,prin comanda apktool -d.Comenzile și rezultatele lor sunt reprezentate în figurile următoare:

Figura 31.Fișierul apk a fost extras

Figura 32.Conținutul fișierului apk este dezarhivat

Fișierul apk a fost dezarhivat,iar pentru că am avut nevoie de cod java am utilizat instrumentul dex2jar care a convertit fișierul dezarhivat în fișier jar,care conține pachete java.Comanda dată este cea din Figura 33.

Figura 33.Fișierul este convertit în format .jar

Pentru a vedea aceste pachete am utilizat instrumentul jd-gui care permite vizualizarea codului java pe clase,precum în figură:

Figura 34.Interfața jd-gui care conține clasele java

După realizarea acestei etape,pentru că mi-am propus să modific logo-ul aplicației am accesat fișierul în care acesta se afla,precum în imagine:

Figura 35.Fișierul cu logo-ul aplicației

În continuare,conform planului expus urmează etapa de comprimare.

Comprimarea

În această etapă am extras logo-ul din fișier și l-am modificat,precum în figură:

Figura 36.Modificare logo

Această modificare a fost urmată apoi de încărcarea logo-ului modificat în fișier,precum în figură:

Figura 37.Fișierul cu logo-ul modificat

După această etapă,pentru că am realizat o modificare în aplicație am avut nevoie de o semnătură a aplicației,deoarece Android necesită ca fișierul apk să fie semnat digital cu un certificat pentru ca acesta să poată fi instalat.Astfel,am utilizat un certificat prin care aplicația modificată a fost semnată digital.

Figura 38.Fișierul cu arhiva care conține semnătura

Pentru ca aplicația modificată să fie instalată pe dispozitiv a fost nevoie să utilizez din nou apktool pentru a comprima fișierul aplicației,comprimare care a dus la obținerea unui fișier apk prin comanda din figură:

Figura 39.Aplicația este în format apk

Odată obținut fișierul apk al aplicației, acesta a fost semnat prin comanda din figură și se regăsește în folder,alături de certificat,cheie și semnătură:

Figura 40.Aplicația este semnată

După această etapă,am utilizat terminalul LXTerminal pentru a instala aplicația pe dispozitivul mobil prin comanda din figură:

Figura 41.Logo-ul aplicației apare modificat

După acestă ultimă etapă a testului se poate vedea clar că logo-ul aplicației a fost modificat,ceea ce rezultă că aplicația este vulnerabilă la anumite atacuri.Această vulnerabilitate pe care am descoperit-o în urma testului atrage după sine consecințe grave.De asemenea,faptul că aplicația este disponibilă în cod binar și acest cod poate fi utiliza de orice persoană determină apariția riscurilor de securitate.În plus,dacă aceste riscuri nu sunt identificate în timp util ele pot produce pagube considerabile.Mai mult decât atât,prin acest test am vrut să subliniez faptul că deși această aplicație este una bancară și se presupune că securitatea datelor pentru acest tip de aplicație trebuie să se realizeze cât mai eficient,aceasta prezintă unele vulnerabilități care pot aduce prejudicii atât băncii cât și cilenților acesteia.

Concluzii

Serviciile bancare la distanță sau serviciile bancare electronice sunt considerate reprezentative pentru noua economie, constituind unul din produsele tipice acesteia.Cu timpul, investițiile în tehnologie au fost din ce în ce mai mari, concomitent cu procesul de inovare al produselor bancare. Astfel, băncile și producătorii de tehnologii informaționale au început să se stimuleze reciproc tot mai mult pentru procesul de dezvoltate și crearea de profit.Creșterea gamei de servicii bancare electronice a condus la creșterea numărului de clienți, iar pentru satisfacerea cererilor și a fidelizării acestora este nevoie de o continuă căutare de noi tehnologii.

Odată cu apariția noilor tehnologii,securizarea sistemelor la atacuri devine din ce în ce mai importantă și complex în sfera bancară.Metodele de securitate adoptate în acest domeniu promit să asigure securitatea,confidențialitatea și integritatea datelor,însă și acestea la rândul lor pot avea anumite lacune care pot afecta domeniul în care sunt folosite.

Astfel,în urma studiului de caz realizat despre Banca Transilvania se poate afirma faptul că aceasta utilizează diverse metode de securitate,protocoale și algoritmi pentru o protecție a datelor cât mai eficientă.Însă,cu toate acestea,în urma testului realizat s-a demonstrat faptul că,în cazul aplicației BT24 Mobile Banking există anumite vulnerabilități.Mai mult decât atât,aceste vulnerabilități pot fi foarte ușor identificate de atacatori și folosite în scopuri ilegale,deoarece codul binar al aplicației poate fi accesat de oricine.

Așadar,toate aceste lucruri identificate trag un semnal de alarmă asupra faptului că,deși această aplicație utilizează metode de securitate și dispune de diverse certificate de securitate, vulnerabilitățile există.Prezența acestora crește riscul apariției unui atac asupra aplicației, care poate produce pagube considerabile.Pagubele produse în urma unui atac influențează în mod direct clientul care utilizează această aplicație,deoarece datele acestuia sunt compromise și nu se mai poate vorbi despre confidențialitatea acestora.

De aceea,clientul trebuie să fie conștient de faptul că și în cazul acestei aplicații pot exista riscuri precum în celelalte,chiar dacă aceasta este o aplicație bancară,iar securitatea este sporită.

În concluzie,din întreg studiu se desprinde o idee clar și anume aceea că nu există securitate totală.

Chiar dacă securitatea nu este totală,adoptarea metodelor de securitate și a certificatelor de securitate este esențială pentru evitarea unor atacuri.

Pentru a evita producerea acestor atacuri și pentru diminuarea vulnerabilităților propun ca soluție în acest caz evitarea expunerii pe Internet a codului binar al aplicației,deoarece acesta poate fi convertit în cod java și se poate modifica cu ajutorul unor instrumente specifice.De asemenea,o altă soluție pe care o propun presupune adoptarea unor metode de securitate care să nu permită validarea semnăturii în cazul în care aplicația a fost modificată.

Bibliografie

Bc. Rrezarta Halili, „The impact of Online Banking on Bank Performance”, Institute

Economic Studies, Charles University in Prague,2014

Elsevier Ltd., „The Impact of Information Technology in Banking System”, peer-review

under responsibility of the 2nd World Conference on Psychology, Counselling and

Guidance,2011

Nicolae Marin, „Sistemul bancar si amenintarile din zona criminalitatii informatice”,Direcția

Antifraudă și Securitate,2015

Pop Sorin Eugen, „Securitatea sistemelor informatice”,Facultatea de inginerie,Universitatea

din Bacău,2007

Abubakar, A.A.; Tasmin, R.B.H., „The impact of information and communication

technology on banks performance and customer service delivery in the banking

industry”, International Journal of Latest Trends in Finance and Economic Sciences,

vol.2(1), pp.80-90,2012

Drigă, I.; Niță, D.; Dura, C., „E-BANKING SERVICES – FEATURES,

CHALLENGES AND BENEFITS”, Annals of the University of Petroșani, Economics,

vol.14(1), pp.49-58,2014

Mostafa Hashem „Sherif Protocols for Secure Electronic Commerce”,CRC Press,2004

Saudit Arabian, „Internet Banking Security Guidelines”, Banking Technology

Department,May 2001

https://en.wikipedia.org/wiki/Transport_Layer_Security

https://www.slideshare.net/vladpetre88/the-3d-secure-protocol

https://support.mygateglobal.com/hc/en-us/article_attachments/209413945/3D_Secure.pdf

https://ijcsits.org/papers/vol4no62014/7vol4no6.pdf

https://www.ffiec.gov/pdf/authentication_guidance.pdf

https://www.sans.org/reading-room/whitepapers/auditing/security-assessment-guidelines-

financial-institutions-993

http://ligiagolosoiu.ro/content/Servicii_bancare_electronice.pdf

https://www.acl.com/pdfs/DP_Fraud_detection_BANKING.pdf

https://pdfs.semanticscholar.org/04e9/4a36c8e9870bcb2f090aeae2fc29075059ec.pdf

http://steconomice.uoradea.ro/anale/volume/2008/v4-management-marketing/280.pdf

http://shodhganga.inflibnet.ac.in/bitstream/10603/9006/16/16_chapter%206.pdf

http://www.facweb.iitkgp.ernet.in/~sourav/AES.pdf

https://www.bancatransilvania.ro/

https://en.wikipedia.org/wiki/VirtualBox

https://santoku-linux.com/about-santoku/

https://www.incapsula.com/web-application-security/penetration-testing.html

https://androidappsapk.co/download/ro.btrl.mobile/c9db2f4e7fb7f5812dd311806e94318a/

https://androidfilehost.com/?fid=24415232478676607