双因素身份验证德国一位高级执法官员周二表示,德国在德国广泛使用的系统未能阻止网络犯罪分子排除银行账户。
截至去年,约95%的德国网上银行客户使用“iTan”代码,随机密码在线交易时向银行客户索要的信息,德国联邦刑事警察局侦察总监Mirko Manske说。
除了客户的登录信息之外,iTan代码还被用作额外的认证措施。 iTan代码只能用于一次,旨在阻止攻击者拥有所有其他客户信息的网上银行攻击。
[进一步阅读:如何从Windows PC删除恶意软件]但“它没有工作,“曼斯克在伦敦电子犯罪大会上发表演讲时说。 “我们仍然在亏钱。”
问题在于黑客已经找到了实时执行交易的方法,利用iTan代码并使安全控制本质上无用。
攻击风格称为man in中间,攻击者能够修改在被黑客攻击的PC和银行服务器之间交换的数据。另一个版本在浏览器中被称为man,在该程序中,特洛伊木马程序修改了交易
Manske由于包含敏感信息而被部分审查过,显示出两种情况,在汇款时使用iTan代码
在其中一种情况下,受害者得到确认,他们正在发送500欧元(677美元)。事实上,黑客已经修改了这些信息并将5,000欧元转移到了另一个帐户,Manske说。“另一个事件显示了恶意软件程序员技术上的成熟程度。 Manske说,一家德国主要银行花费了大量资金实施一个系统,在该系统中,将显示一张混乱的信件的照片,称为CAPTCHA(完全自动公开的Turing测试,以告诉计算机和人类除外),并显示交易详情。 CAPTCHA通常用于尝试和阻止自动化机器人注册,例如,太多的电子邮件帐户,因为计算机在解读人物的时候并不擅长人类。在银行的案例中,CAPTCHA被用来提供另一级别的交易验证。
另一个令人惊讶的网络犯罪创新的例子,Manske说,攻击者开发了一个特殊的组件,可以提供完整的CAPTCHA副本用于中间人攻击。这个副本会在攻击过程中与看似正确的交易细节一起显示
“有一些非常有才华的程序员,”Manske说,