Cистема двухфакторной аутентификации не способна защитить клиентские счета от киберпреступников

Старший суперинтендант Федерального управления криминальной полиции Германии Мирко Манске заявил, что система двухфакторной аутентификации, используемая для обеспечения безопасности банковских операций в онлайне, не способна защитить клиентские счета от киберпреступников.

Во время своего выступления на проходящем в Лондоне конгрессе E-crime Congress Манске сообщил, что на сегодняшний день более 95 процентов немецких банков используют коды iTan для подтверждения правомерности операций по переводу средств через Интернет. К сожалению, предлагаемая система не гарантирует надежной защиты. Деньги продолжают утекать со счетов.

Код iTan выполняет функцию дополнительного защитного рубежа при переводе средств через Интернет. Первый уровень защиты пользователь проходит при подключении к системе, после этого ему предлагается ввести одноразовую комбинацию символов для подтверждения конкретной транзакции. Нужная комбинация доставляется клиенту по альтернативному каналу связи и позволяет подтвердить личность пользователя в том случае, если его идентификационные данные оказались в руках преступников.

Используя хакерскую методику под названием «man in the middle», киберпреступники могут модификацировать данные, передаваемые между скомпрометированным ПК и банковским сервером. Также популярна и другая разновидность атак «man in the browser», в которых за модификацию данных транзакции отвечает специальное «троянское» приложение.

В качестве примеров Манске привел два вполне реальных случая, в которых хакерам удалось воспользоваться недоработками в системе iTan для кражи денег с клиентских счетов.

В первом случае потенциальной жертве было предложено ввести код для подтверждения перевода денежной суммы в размере 500 евро. В реальности же хакер изменил данные этой транзакции и отправил 5’000 евро на собственный счет. Другой инцидент позволяет сделать вывод о технической «продвинутости» авторов вредоносного ПО. Один из крупных немецких банков потратил значительные средства на внедрение системы, требующей ввода «капчи» для подтверждения транзакции. Разработанный киберпреступником компонент позволял генерировать точную копию «капчи», генерируемой банковской системой и предлагать ее вниманию клиента. Потенциальные жертвы вводили предлагаемый набор символов, не подозревая, что своими руками переводят деньги на счет мошенника.