Niemiecka policja: Uwierzytelnianie dwuetapowe

Uwierzytelnianie dwuskładnikowe System szeroko stosowany w Niemczech nie powstrzymuje cyberprzestępców od drenażu kont bankowych - powiedział we wtorek jeden z czołowych niemieckich funkcjonariuszy organów ścigania.

Około 95 procent niemieckich klientów bankowości internetowej używało kodów "iTan", losowych tajnych numerów które są wymagane od klienta bankowego podczas transakcji online, powiedział Mirko Manske, główny inspektor do niemieckiego Federalnego Biura Policji Kryminalnej.

Kod iTan jest wykorzystywany jako dodatkowa miara uwierzytelnienia oprócz danych logowania klienta. Kod iTan może być użyty tylko jeden raz i ma na celu udaremnienie ataków bankowych online, gdy atakujący ma wszystkie inne informacje o kliencie.

[Czytaj dalej: Jak usunąć złośliwe oprogramowanie z komputera z Windows]

Ale "to nie praca "- powiedział Manske podczas prezentacji na kongresie e-przestępczości w Londynie. "Nadal tracimy pieniądze."

Problem polega na tym, że hakerzy wymyślili sposoby wykonywania transakcji w czasie rzeczywistym, wykorzystując kod iTan i czyniąc kontrolę bezpieczeństwa w zasadzie bezużytecznym.

Styl ataku jest nazywany człowiekiem środek, w którym atakujący może modyfikować dane wymieniane między zhakowanym komputerem a serwerem bankowym. Inna wersja nosi nazwę man w przeglądarce, gdzie program konia trojańskiego modyfikuje transakcję.

Manske, którego prezentacja została częściowo ocenzurowana, ponieważ zawierała poufne informacje, pokazała dwa scenariusze, w których kody iTan są używane podczas transferów pieniężnych.

W jednym ze scenariuszy ofiara otrzymuje potwierdzenie, że wysyła 500 € (677 USD). W rzeczywistości, haker zmodyfikował informacje i przekazał 5000 euro na inne konto, powiedział Manske.

Inny incydent pokazał, jak zaawansowani technicznie zaawansowani szkodliwi programiści stali się. Jeden z głównych niemieckich banków wydał znaczną sumę pieniędzy na wdrożenie systemu, w którym zdjęcie pomieszanych listów, o nazwie CAPTCHA (całkowicie zautomatyzowany test publiczny w Tell Computers and Humans Apart), wyświetliłoby szczegóły transakcji, powiedział Manske.

CAPTCHA są często używane do próbowania zatrzymania automatycznych botów przed rejestracją, na przykład zbyt wielu kont e-mail, ponieważ komputery nie są tak dobre w ludziach, gdy demolują znaki firmowe. W przypadku banku, CAPTCHA wykorzystano do zapewnienia kolejnego poziomu weryfikacji transakcji.

Innym zaskakującym przykładem innowacji w cyberprzestępczości, powiedział Manske, napastnicy opracowali specjalny komponent, który może stanowić idealną kopię CAPTCHA do wykorzystania atak typu "man-in-the-middle". Ta kopia byłaby wyświetlana wraz z pozornie poprawnymi szczegółami transakcji podczas ataku.

"Jest kilku bardzo utalentowanych programistów," powiedział Manske.