ตำรวจเยอรมัน: การตรวจสอบความถูกต้องแบบสองปัจจัย <

ที่ใช้กันอย่างแพร่หลายในประเทศเยอรมนีไม่สามารถหยุดอาชญากรไซเบอร์ในการระบายบัญชีธนาคารซึ่งเป็นหนึ่งในเจ้าหน้าที่ด้านการบังคับใช้กฎหมายชั้นนำของเยอรมนีกล่าวเมื่อวันอังคาร

ในปีที่ผ่านมา 95 เปอร์เซ็นต์ของลูกค้าธนาคารออนไลน์ในเยอรมันใช้รหัส "iTan" ที่ได้รับการร้องขอจากลูกค้าธนาคารในระหว่างการทำธุรกรรมออนไลน์ Mirko Manske หัวหน้าแผนกสืบสวนหัวหน้าสำนักงานตำรวจแห่งชาติของเยอรมนีกล่าวว่า

รหัส iTan ใช้เป็นตัววัดเพิ่มเติมในการตรวจสอบความถูกต้องนอกเหนือจากข้อมูลการเข้าสู่ระบบของลูกค้า รหัส iTan สามารถใช้ได้เพียงครั้งเดียวและมีวัตถุประสงค์เพื่อป้องกันการโจมตีทางธนาคารออนไลน์ซึ่งผู้บุกรุกมีข้อมูลลูกค้ารายอื่น ๆ ทั้งหมด

[อ่านเพิ่มเติม: วิธีลบมัลแวร์จากคอมพิวเตอร์ที่ใช้ Windows ของคุณ]

แต่ " งาน "Manske กล่าวในระหว่างการนำเสนอในงาน E-crime Congress ในกรุงลอนดอน "เรายังคงสูญเสียเงิน"

ปัญหาคือแฮกเกอร์ได้หาวิธีที่จะดำเนินธุรกรรมในแบบเรียลไทม์โดยใช้รหัส iTan และทำให้การควบคุมความปลอดภัยเป็นสิ่งที่ไร้ประโยชน์โดยสิ้นเชิง

รูปแบบการโจมตีเรียกว่า man in กลางซึ่งผู้โจมตีสามารถแก้ไขข้อมูลที่แลกเปลี่ยนระหว่างพีซีที่ถูกแฮ็กกับเซิร์ฟเวอร์ธนาคารได้ Mansfield ซึ่งมีการนำเสนอถูกเซ็นเซอร์บางส่วนเนื่องจากมีข้อมูลที่ละเอียดอ่อนมีสองสถานการณ์ที่ใช้รหัส iTan ในการโอนเงิน

ในสถานการณ์หนึ่ง ๆ เหยื่อได้รับการยืนยันว่ากำลังส่งเงิน 500 ยูโร (677 เหรียญสหรัฐ) ในความเป็นจริงแฮ็กเกอร์ได้แก้ไขข้อมูลและโอนเงิน 5,000 บัญชีไปยังบัญชีอื่น Manske กล่าว

เหตุการณ์อีกอย่างหนึ่งแสดงให้เห็นว่าโปรแกรมเมอร์มัลแวร์ขั้นสูงทางเทคนิคเป็นอย่างไร ธนาคารเยอรมันรายใหญ่รายหนึ่งรายหนึ่งได้ใช้เงินจำนวนมากในการติดตั้งระบบที่มีรูปของตัวอักษรที่เรียกว่า CAPTCHA (การทดสอบทัวริงทัวริ่งอัตโนมัติโดยสิ้นเชิงแก่ Tell Computers and Humans Apart) จะแสดงรายละเอียดธุรกรรม Manske กล่าวว่า

CAPTCHA มักใช้เพื่อพยายามหยุดบอทอัตโนมัติจากการลงทะเบียนตัวอย่างเช่นบัญชีอีเมลจำนวนมากเนื่องจากคอมพิวเตอร์ไม่ค่อยดีเท่าที่มนุษย์จะตัดตัวอักษรออก ในกรณีของธนาคาร CAPTCHA ถูกนำมาใช้เพื่อให้การยืนยันธุรกรรมอีกระดับหนึ่ง

ในตัวอย่างที่น่าแปลกใจอีกประการหนึ่งของนวัตกรรมไซเบอร์อาชญากรรม Manske กล่าวว่าผู้บุกรุกได้พัฒนาองค์ประกอบพิเศษที่สามารถทำให้ CAPTCHA สมบูรณ์แบบสามารถใช้งานได้ การโจมตีแบบแมนนอล สำเนาดังกล่าวจะแสดงพร้อมกับรายละเอียดการทำธุรกรรมที่ถูกต้องในระหว่างการโจมตี

"มีโปรแกรมเมอร์ที่มีพรสวรรค์มาก ๆ อยู่ที่นั่น" Manske กล่าว