[íì´í¸ë³´ë]ê°ìí íê²½ì ì¤í ë¦¬ì§ âIP SANâì ì ííë ì´ì
두 요소 인증 독일에서 널리 사용되는 시스템이 사이버 범죄자들이 은행 계좌를 뽑는 것을 막지 못했다고 독일의 한 고위 관리가 화요일 전했다.
작년에 독일 온라인 뱅킹 이용자 중 약 95 %가 "iTan"코드, 임의의 비밀 번호 독일 연방 범죄 경찰청의 형사 책임자 인 미르코 만 스케 (Mirko Manske)는 말했다.
iTan 코드는 고객의 로그인 정보 외에 추가 인증 수단으로 사용된다. iTan 코드는 한 번만 사용할 수 있으며 침입자가 다른 모든 고객 정보를 가지고있는 온라인 뱅킹 공격을 막기위한 것입니다.
[추가 정보: Windows PC에서 멀웨어를 제거하는 방법]하지만 " "런던의 전자 범죄 회의 (E-crime congress)에서 프리젠 테이션을하는 동안 맨 스케 (Manske)는 말했다. "우리는 여전히 돈을 잃고 있습니다."문제는 해커가 iTan 코드를 사용하고 보안 통제를 본질적으로 쓸모 없도록 만드는 트랜잭션을 실시간으로 실행할 수있는 방법을 알아 냈다는 것입니다.
공격자는 해킹 된 PC와 은행 서버간에 교환되는 데이터를 수정할 수 있습니다. 트로이 목마 프로그램이 트랜잭션을 수정하는 브라우저에서 또 다른 버전의 사람이 있습니다.
민감한 정보가 포함되어 부분적으로 검열 된 Manske는 돈 전송 중에 iTan 코드가 사용되는 두 가지 시나리오를 보여주었습니다.
시나리오 중 하나에서 피해자는 € 500 (미화 677 달러)를 송금하고 있다는 확인을받습니다. 사실, 해커가 정보를 수정하고 € 5,000을 다른 계정으로 이전했다고 Manske는 말했습니다.
다른 사건은 기술적으로 진보 한 악성 프로그램 프로그래머가 얼마나 정교 해 졌는지를 보여줍니다. 한 주요 독일 은행은 막대한 금액의 돈을 지출하여 CAPTCHA (컴퓨터와 인간에게 알려주기 위해 완전 자동화 된 공용 튜링 테스트)라고 불리는 뒤죽박죽 된 편지의 사진을 거래 내역과 함께 표시 할 것이라고 Manske는 말했습니다.
CAPTCHA는 자동 봇이 너무 많은 전자 메일 계정과 같이 등록하는 것을 시도하거나 중지하는 데 종종 사용됩니다. 컴퓨터가 사람의 뒤죽박죽을 뒤섞을 때 인간에게 좋지 않기 때문입니다. 은행의 경우 CAPTCHA가 다른 수준의 거래 확인을 제공하는 데 사용되었습니다.
사이버 범죄 혁신의 놀라운 예에서 Manske는 공격자가 CAPTCHA의 완벽한 사본을 사용할 수있는 특수 구성 요소를 개발했다고 밝혔습니다 중간자 (man-in-the-middle) 공격. 그 사본은 공격 중에 겉으로보기에 정확한 트랜잭션 세부 사항과 함께 표시 될 것입니다. "960>"매우 재능있는 프로그래머가 밖에 있습니다 "라고 Manske가 말했습니다.