Android

Tysk politi: Tofaktorautentificering fejler

JEG VAR BANGE FOR AT BLIVE TAGET AF DET TYSKE POLITI!

JEG VAR BANGE FOR AT BLIVE TAGET AF DET TYSKE POLITI!
Anonim

En tofaktorautentificering et system, der er meget udbredt i Tyskland, undlader at stoppe cyberkriminelle fra at dræne bankkonti, sagde en tysk øverstbefalende i Tyskland, tirsdag.

I løbet af sidste år brugte omkring 95 procent af tyske bankkonsulenter "iTan" koder, tilfældige hemmelige tal som efterspørges af en bankkund i en online-transaktion, udtaler Mirko Manske, detektivchef for Tysklands føderale kriminalpoliskontor.

iTan-koden bruges som en ekstra måling af godkendelse udover kundens loginoplysninger. ITan-koden kan kun bruges én gang og er beregnet til at modvirke online-bankangreb, hvor en hacker har alle de øvrige kundeoplysninger.

[Yderligere læsning: Sådan fjernes malware fra din Windows-pc]

Men "det gør ikke arbejde ", sagde Manske under en præsentation på E-crime kongressen i London. "Vi taber stadig penge."

Problemet er, at hackere har fundet ud af måder at udføre transaktioner i realtid ved hjælp af iTan-koden og gøre sikkerhedskontrollen i det væsentlige ubrugelig.

Angrebstilstanden hedder mand i i midten, hvor en hacker kan modificere data udvekslet mellem den hackede pc og en bankserver. En anden version kaldes mand i browseren, hvor et trojansk hesteprogram ændrer transaktionen.

Manske, hvis præsentation blev delvist censureret, da den indeholdt følsomme oplysninger, viste to scenarier, hvorunder iTan-koder anvendes under pengeoverførsler.

I et af scenarierne får offeret en bekræftelse på, at de sender € 500 (US $ 677). Faktisk har en hacker ændret oplysningerne og overført € 5.000 til en anden konto, siger Manske.

En anden hændelse viste netop, hvordan teknologisk avancerede malware-programmerere er blevet. En stor tysk bank brugte en betydelig sum penge til at implementere et system, hvor et billede af jumbled breve, kaldet CAPTCHA (fuldstændigt automatiseret public turing test til Tell Computers and Humans Apart), ville blive vist med transaktions detaljer, siger Manske.

CAPTCHA'er bruges ofte til at forsøge at stoppe automatiserede bots fra at registrere, for eksempel for mange e-mail-konti, da computere ikke er så gode for mennesker ved descrambling jumbles of characters. I bankens tilfælde blev CAPTCHA brugt til at levere et andet niveau af transaktionsverifikation.

I et andet overraskende eksempel på cyberkriminalitetsinnovation sagde Manske, at angriberne udviklede en speciel komponent, der kunne gøre en perfekt kopi af CAPTCHA'en til brug for et menneske-i-midterangreb. Denne kopi vil blive vist sammen med tilsyneladende korrekte transaktionsoplysninger under et angreb.

"Der er nogle meget talentfulde programmører derude," siger Manske.