Системы двухфакторной аутентификации, широко используемые в Германии для
противодействия киберпреступникам при осуществлении онлайн-транзакций, не
справляются с возложенной на них задачей.

Об этом заявил во вторник Мирко Манске, старший суперинтендант Федерального
управления криминальной полиции этой страны. По его словам, в качестве
дополнительной меры защиты 95% занимающихся предоставлением услуг
онлайн-банкинга немецких организаций используют так называемые коды "iTan",
представляющие собой секретный набор случайных цифр, которые запрашиваются во
время проведения транзакций наряду с обычной пользовательской информацией.

Код iTan можно использовать лишь однократно, его цель заключается в том,
чтобы предотвратить атаку в том случае, если злоумышленнику известна вся
остальная информация о жертве. Однако на проходящем в эти дни в Лондоне
Конгрессе по киберпреступлениям Манске заявил, что система не работает. "Мы все
еще теряем деньги", – подчеркнул он.

Проблема заключается в том, что хакеры проводят атаки в режиме реального
времени, делая такой инструмент контроля как iTan практически бесполезным. Одна
из таких атак – это "man in the middle", когда хакер подменяет данные,
пересылаемые между сервером и клиентом. Подтвердив перечисление на определенный
счет, скажем, пятисот евро, можно на самом деле отправить 5000 евро совсем в
другое место.

Еще один случай, по словам Манске, имел место с одним из крупнейших
германских банков, который потратил значительные средства на внедрение в
процедуру осуществления транзакций системы CAPTCHA. В свою очередь, атакующие
создали специальный механизм, отображающий точную копию капчи во время атаки "man
in the middle". Эта копия демонстрировалась конечному пользователю при
проведении атаки наряду с другими, выглядевшими правдоподобными, деталями
транзакции.



Оставить мнение