Новости → Немецкие хакеры успешно обходят двухфакторную аутентификацию
Старший суперинтендант Федерального управления криминальной полиции ФРГ Мирко Манске (Mirko Manske) заявил, что система двухфакторной аутентификации широко распространенная в Германии для обеспечения безопасности банковских операций в онлайне, не способна защитить клиентские счета от кибер-преступников.
«На сегодняшний день более 95 процентов немецких банков используют коды iTan для подтверждения правомерности операций по переводу средств через Интернет», - сообщил г-н Манске во время своего выступления на проходящем в Лондоне конгрессе E-crime Congress. - «К сожалению, предлагаемая система не гарантирует надежной защиты. Деньги продолжают утекать со счетов».
Код iTan выполняет функцию дополнительного защитного рубежа при переводе средств через Интернет. Первый уровень защиты пользователь проходит при подключении к системе, после этого ему предлагается ввести одноразовую комбинацию символов для подтверждения конкретной транзакции. Нужная комбинация доставляется клиенту по альтернативному каналу связи и позволяет подтвердить личность пользователя в том случае, если его идентификационные данные оказались в руках преступников.
Распространенная хакерская методика под названием «man in the middle» предоставляет злоумышленникам возможность модификации данных, передаваемых между скомпрометированным ПК и банковским сервером. Достаточно популярна и другая разновидность атак «man in the browser», в которых за модификацию данных транзакции отвечает специальное «троянское» приложение.
Манске, чья презентация была подвергнута цензуре из-за наличия конфиденциальной информации, привел в качестве примеров два вполне реальных случая, в которых хакерам удалось воспользоваться недоработками в системе iTan для кражи денег с клиентских счетов.
В одном из сценариев потенциальной жертве было предложено ввести код для подтверждения перевода денежной суммы в размере 500 евро. В реальности же хакер модифицировал данные этой транзакции для отправки 5’000 евро на собственный счет. Другой инцидент позволяет сделать вывод о технической «продвинутости» авторов вредоносного ПО. Один из крупных немецких банков потратил значительные средства на внедрение системы, требующей ввода «капчи» (искусственно искаженного изображения случайной комбинации букв и цифр, позволяющей отличить живого пользователя от компьютерной программы) для подтверждения транзакции. Разработанный талантливым хакером компонент позволял генерировать точную копию «капчи», генерируемой банковской системой и предлагать ее вниманию клиента. Вводя предлагаемый набор символов, потенциальные жертвы даже не подозревали, что своими руками переводят деньги на счет мошенника, пишет pcworld.com.
«На сегодняшний день более 95 процентов немецких банков используют коды iTan для подтверждения правомерности операций по переводу средств через Интернет», - сообщил г-н Манске во время своего выступления на проходящем в Лондоне конгрессе E-crime Congress. - «К сожалению, предлагаемая система не гарантирует надежной защиты. Деньги продолжают утекать со счетов».
Код iTan выполняет функцию дополнительного защитного рубежа при переводе средств через Интернет. Первый уровень защиты пользователь проходит при подключении к системе, после этого ему предлагается ввести одноразовую комбинацию символов для подтверждения конкретной транзакции. Нужная комбинация доставляется клиенту по альтернативному каналу связи и позволяет подтвердить личность пользователя в том случае, если его идентификационные данные оказались в руках преступников.
Распространенная хакерская методика под названием «man in the middle» предоставляет злоумышленникам возможность модификации данных, передаваемых между скомпрометированным ПК и банковским сервером. Достаточно популярна и другая разновидность атак «man in the browser», в которых за модификацию данных транзакции отвечает специальное «троянское» приложение.
Манске, чья презентация была подвергнута цензуре из-за наличия конфиденциальной информации, привел в качестве примеров два вполне реальных случая, в которых хакерам удалось воспользоваться недоработками в системе iTan для кражи денег с клиентских счетов.
В одном из сценариев потенциальной жертве было предложено ввести код для подтверждения перевода денежной суммы в размере 500 евро. В реальности же хакер модифицировал данные этой транзакции для отправки 5’000 евро на собственный счет. Другой инцидент позволяет сделать вывод о технической «продвинутости» авторов вредоносного ПО. Один из крупных немецких банков потратил значительные средства на внедрение системы, требующей ввода «капчи» (искусственно искаженного изображения случайной комбинации букв и цифр, позволяющей отличить живого пользователя от компьютерной программы) для подтверждения транзакции. Разработанный талантливым хакером компонент позволял генерировать точную копию «капчи», генерируемой банковской системой и предлагать ее вниманию клиента. Вводя предлагаемый набор символов, потенциальные жертвы даже не подозревали, что своими руками переводят деньги на счет мошенника, пишет pcworld.com.