Немецкие хакеры успешно обходят двухфакторную аутентификацию // 21 Декабря 2012

Старший суперинтендант Федерального управления криминальной полиции ФРГ Мирко Манске (Mirko Manske) заявил, что система двухфакторной аутентификации широко распространенная в Германии для обеспечения безопасности банковских операций в онлайне, не способна защитить клиентские счета от кибер-преступников.

«На сегодняшний день более 95 процентов немецких банков используют коды iTan для подтверждения правомерности операций по переводу средств через Интернет», - сообщил г-н Манске во время своего выступления на проходящем в Лондоне конгрессе E-crime Congress. — «К сожалению, предлагаемая система не гарантирует надежной защиты. Деньги продолжают утекать со счетов».

Код iTan выполняет функцию дополнительного защитного рубежа при переводе средств через Интернет. Первый уровень защиты пользователь проходит при подключении к системе, после этого ему предлагается ввести одноразовую комбинацию символов для подтверждения конкретной транзакции. Нужная комбинация доставляется клиенту по альтернативному каналу связи и позволяет подтвердить личность пользователя в том случае, если его идентификационные данные оказались в руках преступников.

Распространенная хакерская методика под названием «man in the middle» предоставляет злоумышленникам возможность модификации данных, передаваемых между скомпрометированным ПК и банковским сервером. Достаточно популярна и другая разновидность атак «man in the browser», в которых за модификацию данных транзакции отвечает специальное «троянское» приложение.

Манске, чья презентация была подвергнута цензуре из-за наличия конфиденциальной информации, привел в качестве примеров два вполне реальных случая, в которых хакерам удалось воспользоваться недоработками в системе iTan для кражи денег с клиентских счетов.

В одном из сценариев потенциальной жертве было предложено ввести код для подтверждения перевода денежной суммы в размере 500 евро. В реальности же хакер модифицировал данные этой транзакции для отправки 5’000 евро на собственный счет. Другой инцидент позволяет сделать вывод о технической «продвинутости» авторов вредоносного ПО. Один из крупных немецких банков потратил значительные средства на внедрение системы, требующей ввода «капчи» (искусственно искаженного изображения случайной комбинации букв и цифр, позволяющей отличить живого пользователя от компьютерной программы) для подтверждения транзакции. Разработанный талантливым хакером компонент позволял генерировать точную копию «капчи», генерируемой банковской системой и предлагать ее вниманию клиента. Вводя предлагаемый набор символов, потенциальные жертвы даже не подозревали, что своими руками переводят деньги на счет мошенника, пишет pcworld.com.