Saksalainen poliisi: Kaksitasoinen todennus epäonnistui

järjestelmä, jota Saksassa käytetään laajalti, ei estä tietoverkkorikollisuutta laskemasta pankkitilejä, kertoi tiistaina saksalainen saksalainen lainvalvontaviranomainen.

Viime vuonna noin 95 prosenttia saksalaisista verkkopankkipalvelijoista käytti iTan-koodeja, satunnaisia ​​salaisia ​​numeroita jotka ovat pyytäneet pankkiasiakasta verkkokaupan aikana, sanoi Saksan liittovaltion rikospoliisiviraston etsiväpäällikön päällikkö Mirko Manske.

iTan-koodia käytetään asiakkaan kirjautumistietojen lisäksi myös todentamismuotoisena.

[Lue lisää: Haittaohjelmien poistaminen Windows-tietokoneesta]

Mutta "se ei ole mahdollista työ ", ​​Manske esitteli Lontoon E-crime-kongressissa. "Olemme yhä menettämässä rahaa."

Ongelmana on, että hakkerit ovat selvittäneet tapoja toteuttaa tapahtumia reaaliajassa käyttämällä iTan-koodia ja tekemällä turvatarkastuksen käytännöllisesti katsoen hyödytön.

Hyökkäyksen tyyliä kutsutaan ihmiseksi keskellä, jossa hyökkääjä pystyy muuttamaan hakkereiden ja pankkipalvelimen välistä dataa.

Manske, jonka esitys oli osittain sensuroitu, koska se sisälsi arkaluonteisia tietoja, osoitti kaksi skenaariota, joiden avulla iTan-koodeja käytetään rahansiirtojen aikana.

Yhdessä skenaarioista uhri saa vahvistuksen, että hän lähettää 500 € (677 dollaria). Itse asiassa hakkeri on muuttanut tietoja ja siirtänyt 5 000 euroa toiseen tiliin, Manske sanoi.

Toinen tapahtuma osoitti, kuinka teknisesti kehittyneitä haittaohjelmien ohjelmoijia on tullut. Yksi suurimmista saksalaisista pankista käytti huomattavaa rahaa järjestelmän käyttöönotossa, jossa Mance sanoi, että kuvien kopioimattomia kirjaimia kutsutaan nimellä CAPTCHA (Täysin automatisoitu julkinen Turingin testi Tell Computersille ja Humans Apartille).

CAPTCHA: ita käytetään usein yrittääkseen pysäyttää automatisoituja robotteja rekisteröimästä esim. Liian monia sähköpostitilejä, koska tietokoneet eivät ole yhtä hyviä ihmisillä, kun halutaan kirjoittaa merkkejä jumbles. Pankin tapauksessa CAPTCHA: lla käytettiin toista transaktiovarmennustasoa.

Toinen yllättävä esimerkki tietoverkkorikollisuuden innovaatioista, Manske sanoi, hyökkääjät kehittivät erityisen osan, joka voisi tehdä täydellisen kopion CAPTCHA: sta käytettäväksi mies-in-the-middle hyökkäys. Tämä kopio näyttäisi näyttävän oikein tapahtumatiedot hyökkäyksen aikana.

"Siellä on joitain erittäin lahjakkaita ohjelmoijia", Manske sanoi.