Хакеры могут вычислять пароли SMS­-банкинга

image

Теги: хакер

Сотрудники Технологического Университета Квинсленда создали модель онлайн-банка и попросили участников провести транзакцию с использованием кода авторизации, полученного в SMS-сообщении.

Сотрудники Технологического Университета Квинсленда (Queensland University of Technology, QUT) создали модель онлайн-банка и попросили участников провести транзакцию с использованием кода авторизации, полученного в SMS-сообщении.

По утверждению представителя Института Информационной Безопасности (Information Security Institute) QUT Мохаммеда АльЗомаи (Mohammed AlZomai), одна из пяти онлайн-операций подверглась очевидным атакам, несмотря на усиленную защиту с помощью SMS-пароля.

Г-н АльЗомаи пояснил, что многие банки в настоящий момент применяют SMS­-пароли, когда на телефон клиента для каждой транзакции отправляют одноразовый код, который пользователь вручную вводит в компьютер.

Но клиенты не обратили внимания на то, что номер банковского счета в SMS-сообщении не совпадал с номером их счета, отметил г-н АльЗомаи. По его мнению, если такое происходит, это означает, что хакеры явно проникли в систему.

Г-н АльЗомаи рассказал, что он смоделировал два типа атаки: явную атаку, когда в номере счета были изменены пять или более цифр, и неявную атаку с изменением лишь одной цифры.

Явные атаки стали успешными в 21% случаев, а путем скрытых удалось обмануть 61% пользователей, добавил он.

«Такие результаты явно указывают на уязвимость метода SMS-авторизации, - подчеркнул он. – По данным нашего исследования, лишь 79% пользователей смогли бы избежать реальных атак, но такой уровень безопасности онлайн-банкинга не является надежным».

По словам г-на АльЗомаи, данное исследование демонстрирует клиентам необходимость сохранять бдительность при использовании онлайн-банкинга. Но он также убежден, что и банки ответственны перед своими клиентами.

«Мы надеемся, что данное исследование позволит онлайн-банкам и другим поставщикам онлайн-услуг лучше подготовиться к таким рискам», - заключил он.


или введите имя

CAPTCHA
1
12-11-2007 20:14:31
слив защитан
0 |
1
13-11-2007 08:44:28
типа только догадались?
0 |
1
13-11-2007 09:15:55
Скажите, а какой толк от одноразового пароля и неправильного номера счёта? В чём заключается уязвимость?
0 |
1
13-11-2007 11:06:14
аффтор курил траву не видно чтоли из текста?
0 |
1
13-11-2007 12:26:49
ну смотри всё делаеться так: юзер делает заявку на перевод - инфа отправляеться в банк,банк генерит смс код именно для этого перевода,(то есть для этих реквизитов)потом юзеру смской скидываеться пароль,но не только пароль там идет допоплнительная инфа о сумме перевода и на какой счёт уходят лаве это сделано для того чтобы не было атаки midle in mind(типа того непомню как точно называеться) а суть этой атаки что в соединение между 2 компьютерами(в данном случае это юзер и банк) вклиниваеться 3 компьютер и на лету изменяет данные(допустим номер счета куда делаеться перевод и сумма перевода) это называеться в кардерских кругах - автозалив вся суть в том что устанавливаеться троян на юзерскую машину и потом когда делаеться перевод троян стучит на сервер за данными дропа,и потом просто подменяет инфу,то есть отправляет в банк уже зарнеее модифицированную информацию,а на компе у юзера и в историии операций отображает те данные что ввел юзер,потом банк генерит код(дело в том что код от одной операции никак не подойдет к другой) и отсылает этот код на телефон юзверя и чтобы вот не было такой подмены банк пишет в смс данные получателя и сумму перевода,вот эта статья как раз и говорит о том что юзер может не заметить изменения номера счёта и суммы для конкретного примера где используеться эта система у нас в россии - приведу альфабанк для физических лиц,его грабили именно таким способом после введения смс паролей а для юридических лиц там совсем иной разговор%) уфф ну и написал..
0 |