המשטרה הגרמנית: כשל בשני גורמים נכשל

אימות דו-שלבי המערכת הפופולרית בגרמניה לא מצליחה לעצור את פושעי האינטרנט מלקזז חשבונות בנק, כך אמר אתמול (ג ') פקיד הבנקאות המקוונת הגרמנית. אשר מתבקשים של לקוח הבנק במהלך עסקה מקוונת, אמר מירקו Manske, בלש מפקח הראשי של המשטרה הפדרלית של המשטרה הפדרלית של המשטרה.

קוד ה- iTan משמש כאמצעי נוסף לאימות מלבד פרטי הכניסה של הלקוח. קוד ה- iTan יכול לשמש רק פעם אחת ומיועד לסכל התקפות בנקאיות מקוונות שבהן לתוקף יש את כל פרטי הלקוח האחרים. [

[קריאה נוספת: כיצד להסיר תוכנות זדוניות ממחשב Windows שלך]

אבל עבודה, "אמר Manske במהלך מצגת בבית הקונגרס E פשע בלונדון. "אנחנו עדיין מפסידים כסף". הבעיה היא שהאקרים מצאו דרכים לבצע עסקאות בזמן אמת, תוך ניצול קוד ה- iTan והפיכת השליטה הביטחונית לחסרת תועלת.

סגנון ההתקפה נקרא אדם באמצע, שבו התוקף מסוגל לשנות נתונים להחליף בין המחשב פרוצים לשרת הבנק. גרסה אחרת נקראת אדם בדפדפן, שם תוכנית סוס טרויאני משנה את העסקה.

Manske, שהמצגת שלו צונזרה חלקית משום שהיא מכילה מידע רגיש, הראתה שני תרחישים שבהם נעשה שימוש בקודי iTan במהלך העברות כספים. באחד התרחישים, הקורבן מקבל אישור כי הם שולחים 500 € (US $ 677). למעשה, האקר שינה את המידע והעביר 5,000 € לחשבון אחר, אמר מנסקה.

תקרית אחרת הראתה כיצד מתכנתים מתקדמים מבחינה טכנית מתכנתים הפכו. אחד הבנקים הגרמניים הגדולים הוציא כמות ניכרת של כסף ביישום מערכת שבה תוצג תמונה של אותיות משובשות, הנקראת מבחן CAPTCHA (אוטומטי לחלוטין של טיורינג), שיוצג עם מחשבים ובני אדם חוץ), יוצג עם פרטי העסקה, אמר מנסקה. CAPTCHAs משמשים לעתים קרובות כדי לנסות ולהפסיק את הרובוטים האוטומטיים מהרישום, לדוגמה, חשבונות דואר אלקטרוני רבים מדי, מכיוון שמחשבים אינם טובים כמו בני אדם בעת הצטלבות של תווים. במקרה של הבנק, CAPTCHA שימש כדי לספק רמה נוספת של אימות העסקה.

בדוגמה מפתיעה נוספת של חדשנות הקיברנטיזם, אמר מנסקה, התוקפים פיתחו רכיב מיוחד שיכול להפוך עותק מושלם של CAPTCHA לשמש התקפה של אדם באמצע. עותק זה יוצג יחד עם פרטי העסקה הנכונים לכאורה במהלך התקפה. "יש כמה מתכנתים מוכשרים מאוד שם בחוץ", אמר מנסקה.