Хакеры могут вычислять пароли SMS­-банкинга

Сотрудники Технологического Университета Квинсленда (Queensland University of Technology, QUT) создали модель онлайн-банка и попросили участников провести транзакцию с использованием кода авторизации, полученного в SMS-сообщении.

По утверждению представителя Института Информационной Безопасности (Information Security Institute) QUT Мохаммеда АльЗомаи (Mohammed AlZomai), одна из пяти онлайн-операций подверглась очевидным атакам, несмотря на усиленную защиту с помощью SMS-пароля.

Г-н АльЗомаи пояснил, что многие банки в настоящий момент применяют SMS­-пароли, когда на телефон клиента для каждой транзакции отправляют одноразовый код, который пользователь вручную вводит в компьютер.

Но клиенты не обратили внимания на то, что номер банковского счета в SMS-сообщении не совпадал с номером их счета, отметил г-н АльЗомаи. По его мнению, если такое происходит, это означает, что хакеры явно проникли в систему.

Г-н АльЗомаи рассказал, что он смоделировал два типа атаки: явную атаку, когда в номере счета были изменены пять или более цифр, и неявную атаку с изменением лишь одной цифры.

Явные атаки стали успешными в 21% случаев, а путем скрытых удалось обмануть 61% пользователей, добавил он.

«Такие результаты явно указывают на уязвимость метода SMS-авторизации, - подчеркнул он. – По данным нашего исследования, лишь 79% пользователей смогли бы избежать реальных атак, но такой уровень безопасности онлайн-банкинга не является надежным».

По словам г-на АльЗомаи, данное исследование демонстрирует клиентам необходимость сохранять бдительность при использовании онлайн-банкинга. Но он также убежден, что и банки ответственны перед своими клиентами.

«Мы надеемся, что данное исследование позволит онлайн-банкам и другим поставщикам онлайн-услуг лучше подготовиться к таким рискам», - заключил он.