Tysk politi: Tofaktorautentisering feiler

En tofaktorautentisering Systemet er mye brukt i Tyskland, og er ikke i stand til å stoppe cyberkriminelle fra å drenere bankkontoer, sa en tysk politimann i tirsdag.

Fra og med i fjor brukte 95 prosent av tyske bankkonsulenter "iTan" koder, tilfeldige hemmelige tall som blir bedt om av en bankkund i en online-transaksjon, sier Mirko Manske, detektivansvarlig for Tysklands føderale politikontor.

iTan-koden brukes som et tilleggsmått for godkjenning i tillegg til kundens innloggingsinformasjon. ITan-koden kan bare brukes en gang og er ment å motvirke nettbankangrep hvor en angriper har all annen kundeinformasjon.

[Videre lesing: Slik fjerner du skadelig programvare fra din Windows-PC]

Men "det gjør ikke arbeid, "sa Manske under en presentasjon på E-crime kongressen i London. "Vi mister fortsatt penger."

Problemet er at hackere har funnet ut måter å utføre transaksjoner i sanntid, utnytte iTan-koden og gjøre sikkerhetskontrollen i det hele tatt ubrukelig.

Angrepetypen kalles mann i midten, der en angriper kan modifisere data som utveksles mellom hacked PC og en banktjener. En annen versjon kalles mann i nettleseren, der et trojansk hesteprogram modifiserer transaksjonen.

Manske, hvis presentasjon var delvis sensurert siden den inneholdt sensitiv informasjon, viste to scenarier under hvilke iTan-koder blir brukt under pengeoverføringer.

I et av scenariene får offeret en bekreftelse på at de sender € 500 (US $ 677). Faktisk har en hacker endret informasjonen og overført € 5000 til en annen konto, sa Manske.

En annen hendelse viste bare hvordan teknologisk avanserte malwareprogrammerere har blitt. En stor tysk bank brukte mye penger på å implementere et system der et bilde av jumbled bokstaver, kalt CAPTCHA, vil bli vist med transaksjonsdetaljer, sier Manske.

CAPTCHAs brukes ofte til å forsøke å stoppe automatiserte bots fra å registrere, for eksempel, for mange e-postkontoer, siden datamaskiner ikke er så gode hos mennesker ved descrambling jumbles of characters. I bankens tilfelle ble CAPTCHA brukt til å gi et nytt nivå av transaksjonsbekreftelse. I et annet overraskende eksempel på innovasjon av nettkriminalitet, sa Manske at angriperne utviklet en spesiell komponent som kunne gjøre en perfekt kopi av CAPTCHA som skal brukes til et mann-i-midten-angrep. Den kopien vil bli vist sammen med tilsynelatende korrekte transaksjonsdetaljer under et angrep.

"Det er noen veldig talentfulle programmerere der ute," sa Manske.