Német rendőrség: kétfaktorú hitelesítés sikertelen

Kétfaktoros hitelesítés Németországban széles körben használt rendszernek nem sikerül megakadályoznia a számítógépes bűnözőknek a bankszámlák lecsapolását, kedden a legelső német bűnüldözési hivatalnok kijelentette.

A tavalyi évhez képest a német online banki ügyfélszolgálók mintegy 95 százaléka "iTan" kódokat, véletlenszerű titkos számokat amit egy banki ügyféllel kérnek online tranzakció során - mondta Mirko Manske, a német szövetségi bűnügyi rendőrség nyomozófőnöke.

Az iTan-kódot a vásárló bejelentkezési információi mellett további hitelesítési mérésekként is használják. Az iTan kód csak egyszer használható, és célja az online banki támadások megakadályozása, ahol a támadónak van minden egyéb ügyféladata.

[További olvasmány: Hogyan távolítsunk el rosszindulatú programokat Windows számítógépéről]

De "nem munka "- mondta Manske a londoni E-bűnözői kongresszuson. "Még mindig veszítünk pénzt."

A probléma az, hogy a hackerek rájönnek, hogyan valósíthatják meg a tranzakciókat valós időben, felhasználva az iTan kódot, és a biztonsági ellenőrzést lényegében haszontalanítani.

a középső, ahol a támadó képes módosítani a feltört PC és egy bank szerver között kicserélt adatokat. Egy másik verzió a böngészőben az embernek hívott, ahol egy trójai program módosítja a tranzakciót.

A Manske, amelynek megjelenését részlegesen cenzúrázta, mert érzékeny információkat tartalmazott, két olyan forgatókönyvet mutat be, amelyek alatt az iTan kódokat a pénzátutalások során használják.

A forgatókönyvek egyikében az áldozat megkapja a megerősítést arról, hogy 500 eurót (677 USD) küldenek. Valójában egy hacker módosította az információkat, és 5000 eurót átutalt egy másik számlájára, Manske azt mondta:

Egy másik incidens megmutatta, hogy technikailag fejlett malware programozók lettek. Egy nagy német bank jelentős összegeket költött egy olyan rendszert bevezetve, amelyen a tranzakciós adatokkal a tranzakció részleteit tartalmazó CAPTCHA ("Teljesen automatizált nyilvános Turing-teszt a Tell Computers és a Humans Apart") nevű fotót ábrázolja.

A CAPTCHA-kat gyakran arra használják, hogy megpróbálják megakadályozni az automatizált botokat a regisztráció során, például túl sok e-mail fiókot, mivel a számítógépek nem olyan jók az embereknél, amikor a karakterek darabjainak visszaadása történik. A bank esetében a CAPTCHA-t használták egy újabb tranzakcióellenőrzés szintjére.

A számítógépes bűnözés újításának egy újabb meglepő példáján Manske elmondta, hogy a támadók kifejlesztettek egy speciális összetevőt, amely tökéletes másolatot készíthet a CAPTCHA-ról egy ember a közepén támadás. Ez a másolat megjelenik a látszólag helyes tranzakciós részletekkel együtt egy támadás során.

"Van néhány nagyon tehetséges programozó", mondta Manske.