Немецкая полиция: двухфакторная аутентификация неэффективна
25.03.2009
Системы двухфакторной аутентификации, широко используемые в Германии для противодействия киберпреступникам при осуществлении онлайн-транзакций, не справляются с возложенной на них задачей.
Об этом заявил во вторник Мирко Манске, старший суперинтендант Федерального управления криминальной полиции этой страны. По его словам, в качестве дополнительной меры защиты 95% занимающихся предоставлением услуг онлайн-банкинга немецких организаций используют так называемые коды "iTan", представляющие собой секретный набор случайных цифр, которые запрашиваются во время проведения транзакций наряду с обычной пользовательской информацией.
Код iTan можно использовать лишь однократно, его цель заключается в том, чтобы предотвратить атаку в том случае, если злоумышленнику известна вся остальная информация о жертве. Однако на проходящем в эти дни в Лондоне Конгрессе по киберпреступлениям Манске заявил, что система не работает. "Мы все еще теряем деньги", – подчеркнул он.
Проблема заключается в том, что хакеры проводят атаки в режиме реального времени, делая такой инструмент контроля как iTan практически бесполезным. Одна из таких атак – это "man in the middle", когда хакер подменяет данные, пересылаемые между сервером и клиентом. Подтвердив перечисление на определенный счет, скажем, пятисот евро, можно на самом деле отправить 5000 евро совсем в другое место.
Еще один случай, по словам Манске, имел место с одним из крупнейших германских банков, который потратил значительные средства на внедрение в процедуру осуществления транзакций системы CAPTCHA. В свою очередь, атакующие создали специальный механизм, отображающий точную копию капчи во время атаки "man in the middle". Эта копия демонстрировалась конечному пользователю при проведении атаки наряду с другими, выглядевшими правдоподобными, деталями транзакции.
