Cистема двухфакторной аутентификации не способна защитить клиентские счета от киберпреступников

image

Теги: киберпреступник, банковский счет

Старший суперинтендант Федерального управления криминальной полиции Германии Мирко Манске заявил, что система двухфакторной аутентификации, используемая для обеспечения безопасности банковских операций в онлайне, не гарантирует надежной защиты.

Старший суперинтендант Федерального управления криминальной полиции Германии Мирко Манске заявил, что система двухфакторной аутентификации, используемая для обеспечения безопасности банковских операций в онлайне, не способна защитить клиентские счета от киберпреступников.

Во время своего выступления на проходящем в Лондоне конгрессе E-crime Congress Манске сообщил, что на сегодняшний день более 95 процентов немецких банков используют коды iTan для подтверждения правомерности операций по переводу средств через Интернет. К сожалению, предлагаемая система не гарантирует надежной защиты. Деньги продолжают утекать со счетов.

Код iTan выполняет функцию дополнительного защитного рубежа при переводе средств через Интернет. Первый уровень защиты пользователь проходит при подключении к системе, после этого ему предлагается ввести одноразовую комбинацию символов для подтверждения конкретной транзакции. Нужная комбинация доставляется клиенту по альтернативному каналу связи и позволяет подтвердить личность пользователя в том случае, если его идентификационные данные оказались в руках преступников.

Используя хакерскую методику под названием «man in the middle», киберпреступники могут модификацировать данные, передаваемые между скомпрометированным ПК и банковским сервером. Также популярна и другая разновидность атак «man in the browser», в которых за модификацию данных транзакции отвечает специальное «троянское» приложение.

В качестве примеров Манске привел два вполне реальных случая, в которых хакерам удалось воспользоваться недоработками в системе iTan для кражи денег с клиентских счетов.

В первом случае потенциальной жертве было предложено ввести код для подтверждения перевода денежной суммы в размере 500 евро. В реальности же хакер изменил данные этой транзакции и отправил 5’000 евро на собственный счет. Другой инцидент позволяет сделать вывод о технической «продвинутости» авторов вредоносного ПО. Один из крупных немецких банков потратил значительные средства на внедрение системы, требующей ввода «капчи» для подтверждения транзакции. Разработанный киберпреступником компонент позволял генерировать точную копию «капчи», генерируемой банковской системой и предлагать ее вниманию клиента. Потенциальные жертвы вводили предлагаемый набор символов, не подозревая, что своими руками переводят деньги на счет мошенника.


или введите имя

CAPTCHA
Страницы: 1  2  
Русский
26-03-2009 09:38:02
Щас ещё скажут что это мы воруем деньги у немцев ну какпча одни умеют её делать другие подделывать извечная война добра и зла. тока вот где добро а где зло нужно ещё подумать
0 |
26-03-2009 09:50:06
Cистема двухфакторной аутентификации не способна защитить клиентские счета от киберпреступниковПриколисты блин. Если бы кто-то создал систему способную защитить клиентские счета от киберпреступников, то он стал бы самым богатым человеком.
0 |
53288
26-03-2009 10:40:08
Так или иначе замешан персонал банков, то есть нужна система контроля мозгов работников банка. Человеческий фактор - социальная инженерия - мотивация сотрудников, и все дальше в дебри. Системы аутентификации не причем.
0 |
KG
26-03-2009 10:40:33
Если бы кто-то создал систему способную защитить клиентские счета от киберпреступников, то он стал бы самым богатым человеком. А потом самым богатым стал бы тот кто придумал как обойти эту систему, и так по кругу.....
0 |
26-03-2009 11:04:54
Угу, продавая к ней пути обхода и пользуясь сам
0 |
xell
26-03-2009 10:09:06
очень обидно что в нашей стране - это тоже фсе понимают - но вот только законодательством никто заниматься не хочет! простоодноразовые пароли, карты переменных кодов не регламентируются (160 Гк конечно есть, но это все хня). похоже только когда счета правителей начнут обнулять что-то может быть сделают с этим. А фашисткий Суперинтендант, я бы даже сказал СуперМегаЭкстраИнтендат ах........Т..ь какой умный! я вот вашистов даже за уважал, не представляю и как оне смогли раскрыть эту проблему? ааааа, я понял у них там самые лучшие СуперМегаЭкстраХакиры и соответственно СуперМегаЭкстраИнтендаты. вашистский народ может спать спокойно с такими лимиционерами - оне обязательно защитят и их и их счета. ура товарищи, ура. даздравствуют гармано-вашистские СуперМегаЭкстраИнтендаты! (лю..би..мый горооод может спасть спокойнаааа...)
0 |
Мимо проходил
26-03-2009 10:34:12
+1 Ривест, Шамир и компания уже давно все придумали, вот только банкиры реализовывать не шибко спешат. Есть мнение, что банки ничего не теряют при таких обманах клиента. Крайним остается клиент. А 99% клиентов не в состоянии оценить качество защиты, и потому механизм конкуренции тоже не срабатывает. Вывод - пока не повысить грамотность населения в целом, ничего не получится.
0 |
43046
26-03-2009 11:30:03
Используя хакерскую методику под названием «man in the middle», киберпреступники могут модификацировать данные А что, никому слово "модификацировать" не показалось странным?
0 |
Антиэксперт
26-03-2009 12:07:45
Так это по-немецки написано просто в русской транскрипции;))
0 |
Rusty
26-03-2009 13:19:56
Там ещё про демона Максвелла есть: "man in the browser"
0 |
Страницы: 1  2