Γερμανική αστυνομία: Έλεγχος ταυτότητας δύο παραγόντων

το οποίο χρησιμοποιείται ευρέως στη Γερμανία, δεν μπορεί να σταματήσει τους κυβερνοεγκληματίες από την αποστράγγιση των τραπεζικών λογαριασμών, σύμφωνα με αξιωματούχο της γερμανικής υπηρεσίας επιβολής του νόμου.

Από το περασμένο έτος, περίπου το 95% των γερμανών χρηστών ηλεκτρονικών τραπεζών χρησιμοποιούν κώδικες "iTan" που ζητούνται από έναν πελάτη της τράπεζας κατά τη διάρκεια μιας ηλεκτρονικής συναλλαγής, δήλωσε ο Mirko Manske, επικεφαλής του ντετέκτιβ επικεφαλής της Γερμανικής Ομοσπονδιακής Υπηρεσίας Εγκληματολογικής Αστυνομίας.

Ο κώδικας iTan χρησιμοποιείται ως πρόσθετο μέτρο εξακρίβωσης της ταυτότητας εκτός από τις πληροφορίες σύνδεσης του πελάτη. Ο κώδικας iTan μπορεί να χρησιμοποιηθεί μόνο μία φορά και αποσκοπεί στην αποτροπή των online τραπεζικών επιθέσεων όπου ο εισβολέας έχει όλες τις υπόλοιπες πληροφορίες για τον πελάτη.

< εργασία ", δήλωσε ο Manske κατά τη διάρκεια παρουσίασης στο συνέδριο του E-crime στο Λονδίνο. "Έχουμε ακόμα χάσει χρήματα."

Το πρόβλημα είναι ότι οι χάκερ έχουν βρει τρόπους για να εκτελέσουν συναλλαγές σε πραγματικό χρόνο, χρησιμοποιώντας τον κώδικα iTan και κάνοντας τον έλεγχο ασφαλείας ουσιαστικά άχρηστο.

Ο τρόπος επίθεσης ονομάζεται άνθρωπος στη μέση, όπου ένας εισβολέας είναι σε θέση να τροποποιήσει τα δεδομένα που ανταλλάσσονται μεταξύ του hacked PC και ενός τραπεζικού διακομιστή. Μια άλλη έκδοση ονομάζεται άνθρωπος στο πρόγραμμα περιήγησης, όπου πρόγραμμα Trojan horse τροποποιεί τη συναλλαγή

Η Manske, η παρουσίαση της οποίας ήταν εν μέρει λογοκρισία δεδομένου ότι περιείχε ευαίσθητες πληροφορίες, έδειξε δύο σενάρια κάτω από τα οποία χρησιμοποιούνται κωδικοί iTan κατά τη μεταφορά χρημάτων. Σε ένα από τα σενάρια, το θύμα λαμβάνει επιβεβαίωση ότι στέλνει € 500 (US $ 677). Στην πραγματικότητα, ένας χάκερ έχει τροποποιήσει τις πληροφορίες και έχει μεταφέρει € 5.000 σε άλλο λογαριασμό, δήλωσε ο Manske.

Ένα άλλο περιστατικό έδειξε πόσο έχουν γίνει οι προχωρημένοι προγραμματιστές κακόβουλου λογισμικού. Μια μεγάλη γερμανική τράπεζα πέρασε ένα σημαντικό χρηματικό ποσό, εφαρμόζοντας ένα σύστημα όπου θα απεικονίζονταν φωτογραφίες των μπερδεμένων γραμμάτων, που ονομάζονταν CAPTCHA (Πλήρως αυτοματοποιημένο δημόσιο τεστ Turing για να πει ο υπολογιστής και ο άνθρωπος εκτός) με λεπτομέρειες συναλλαγής, δήλωσε ο Manske

Τα CAPTCHAs συχνά χρησιμοποιούνται για να προσπαθήσουν και να σταματήσουν τα αυτοματοποιημένα bots από την εγγραφή, για παράδειγμα, σε πάρα πολλούς λογαριασμούς ηλεκτρονικού ταχυδρομείου, αφού οι υπολογιστές δεν είναι τόσο καλοί στους ανθρώπους κατά την αποκρυπτογράφηση πολλών χαρακτήρων. Στην περίπτωση της τράπεζας, το CAPTCHA χρησιμοποιήθηκε για την παροχή ενός άλλου επιπέδου επαλήθευσης των συναλλαγών.

Σε ένα άλλο εκπληκτικό παράδειγμα καινοτομίας στον κυβερνοεγκληματικό τομέα, ο Manske δήλωσε ότι οι επιτιθέμενοι ανέπτυξαν ένα ειδικό στοιχείο που θα μπορούσε να κάνει ένα τέλειο αντίγραφο του CAPTCHA μια επίθεση στον άνθρωπο στη μέση. Αυτό το αντίγραφο θα εμφανίζεται μαζί με τις φαινομενικά σωστές λεπτομέρειες συναλλαγών κατά τη διάρκεια μιας επίθεσης

«Υπάρχουν κάποιες πολύ ταλαντούχοι προγραμματιστές εκεί έξω», δήλωσε ο Manske