Tysk politi laver stor razzia
En tofaktorautentisering Systemet er mye brukt i Tyskland, og er ikke i stand til å stoppe cyberkriminelle fra å drenere bankkontoer, sa en tysk politimann i tirsdag.
Fra og med i fjor brukte 95 prosent av tyske bankkonsulenter "iTan" koder, tilfeldige hemmelige tall som blir bedt om av en bankkund i en online-transaksjon, sier Mirko Manske, detektivansvarlig for Tysklands føderale politikontor.
iTan-koden brukes som et tilleggsmått for godkjenning i tillegg til kundens innloggingsinformasjon. ITan-koden kan bare brukes en gang og er ment å motvirke nettbankangrep hvor en angriper har all annen kundeinformasjon.
[Videre lesing: Slik fjerner du skadelig programvare fra din Windows-PC]Men "det gjør ikke arbeid, "sa Manske under en presentasjon på E-crime kongressen i London. "Vi mister fortsatt penger."
Problemet er at hackere har funnet ut måter å utføre transaksjoner i sanntid, utnytte iTan-koden og gjøre sikkerhetskontrollen i det hele tatt ubrukelig.
Angrepetypen kalles mann i midten, der en angriper kan modifisere data som utveksles mellom hacked PC og en banktjener. En annen versjon kalles mann i nettleseren, der et trojansk hesteprogram modifiserer transaksjonen.
Manske, hvis presentasjon var delvis sensurert siden den inneholdt sensitiv informasjon, viste to scenarier under hvilke iTan-koder blir brukt under pengeoverføringer.
I et av scenariene får offeret en bekreftelse på at de sender € 500 (US $ 677). Faktisk har en hacker endret informasjonen og overført € 5000 til en annen konto, sa Manske.
En annen hendelse viste bare hvordan teknologisk avanserte malwareprogrammerere har blitt. En stor tysk bank brukte mye penger på å implementere et system der et bilde av jumbled bokstaver, kalt CAPTCHA, vil bli vist med transaksjonsdetaljer, sier Manske.
CAPTCHAs brukes ofte til å forsøke å stoppe automatiserte bots fra å registrere, for eksempel, for mange e-postkontoer, siden datamaskiner ikke er så gode hos mennesker ved descrambling jumbles of characters. I bankens tilfelle ble CAPTCHA brukt til å gi et nytt nivå av transaksjonsbekreftelse. I et annet overraskende eksempel på innovasjon av nettkriminalitet, sa Manske at angriperne utviklet en spesiell komponent som kunne gjøre en perfekt kopi av CAPTCHA som skal brukes til et mann-i-midten-angrep. Den kopien vil bli vist sammen med tilsynelatende korrekte transaksjonsdetaljer under et angrep.
"Det er noen veldig talentfulle programmerere der ute," sa Manske.
Programspesifikke passord svekker Googles tofaktorautentisering, sier forskere
Forskere oppdaget et smutthull i Googles godkjenningssystem som tillot dem for å omgå selskapets 2-trinns påloggingsbekreftelse ved å misbruke de unike passordene som brukes til individuelle applikasjoner.
Microsoft legger til tofaktorautentisering for å sikre kontoer sikre
Hvis du er en aktiv bruker av Outlook, SkyDrive, Office Web Apps , eller andre Microsoft-tjenester, kan du legge til to-trinns bekreftelse for et ekstra sikkerhetslag.
Slik konfigurerer du tofaktorautentisering for Facebook, Google, Microsoft og mer
Ikke flere unnskyldninger ! Microsoft, Google og Facebook gjør det enkelt å forbedre kontosikkerheten din med tofaktorautentisering. Slik er det.