Немецкая полиция: двухфакторная аутентификация

Двухфакторная аутентификация система, широко используемая в Германии, не может остановить киберпреступников от истощения банковских счетов, сказал во вторник высокопоставленный представитель правоохранительных органов Германии.

По состоянию на прошлый год около 95 процентов немецких интернет-банковских покровителей использовали коды «iTan», случайные секретные номера которые запрашиваются у банковского клиента во время онлайн-транзакции, сказал Мирко Манске, начальник детективного начальника Федерального управления уголовной полиции Германии.

Код iTan используется в качестве дополнительной меры аутентификации, помимо информации входа пользователя в систему. Код iTan можно использовать только один раз, и он предназначен для предотвращения атак онлайн-банкинга, когда у злоумышленника есть все остальные сведения о клиенте.

[Дополнительная информация: Как удалить вредоносное ПО с вашего ПК с ОС Windows]

Но «это не », - сказал Манске во время презентации на Конгрессе по борьбе с преступностью в Лондоне. «Мы по-прежнему теряем деньги».

Проблема заключается в том, что хакеры выяснили способы выполнения транзакций в режиме реального времени, используя код iTan и практически бесполезный контроль безопасности.

Стиль атаки называется человеком в в середине, где злоумышленник может изменять данные, обмениваемые между взломанным ПК и банковским сервером. Другая версия называется человеком в браузере, где программа троянского коня модифицирует транзакцию.

Manske, чья презентация была частично подвергнута цензуре, поскольку содержала конфиденциальную информацию, показала два сценария, в соответствии с которыми коды iTan используются во время денежных переводов.

В одном из сценариев жертва получает подтверждение о том, что они отправляют 500 евро (677 долларов США). Фактически, хакер изменил информацию и перевел € 5000 на другой аккаунт, сказал Манске.

Еще один случай показал, насколько стали технически продвинутыми программистами вредоносных программ. Один крупный немецкий банк потратил значительную сумму денег на внедрение системы, в которой фотография перемешанных букв, называемая CAPTCHA (полностью автоматизированный публичный тест Тьюринга для Tell Computers и People Apart), будет отображаться с информацией о транзакции, сказал Манске.

CAPTCHA часто используются, чтобы попытаться остановить автоматические боты от регистрации, например, слишком большого количества учетных записей электронной почты, поскольку компьютеры не так хороши для людей при дескремблировании jumbles символов. В случае банка CAPTCHA использовался для обеспечения еще одного уровня проверки транзакций.

В другом удивительном примере инноваций в области киберпреступлений, сказал Манске, злоумышленники разработали специальный компонент, который мог бы сделать идеальную копию CAPTCHA, которая будет использоваться для нападение «человек в середине». Эта копия будет отображаться вместе с кажущимися правильными деталями транзакции во время атаки.

«Там есть очень талантливые программисты», - сказал Манске.