Deutsche Polizei: Zwei-Faktor-Authentifizierung schlägt fehl

Eine Zwei-Faktor-Authentifizierung Englisch: www.germnews.de/archive/dn/1995/02/11.html Ein in Deutschland weit verbreitetes System schreckt Cyberkriminelle nicht davon ab, Bankkonten zu entlasten, sagte ein hoher deutscher Polizeibeamter am Dienstag.

Im vergangenen Jahr nutzten rund 95 Prozent der deutschen Online - Banking - Kunden "iTan" -Codes, zufällige geheime Nummern "Das wird von einem Bankkunden während einer Online-Transaktion verlangt", sagte Mirko Manske, Kriminalhauptkommissar beim Bundeskriminalamt.

Der iTan-Code wird neben der Login-Information des Kunden als zusätzliches Maß für die Authentifizierung verwendet. Der iTan-Code kann nur einmal verwendet werden und soll Online-Banking-Angriffe vereiteln, bei denen ein Angreifer alle anderen Kundeninformationen hat.

[Weitere Informationen: So entfernen Sie Malware von Ihrem Windows-PC]

Aber "tut es nicht arbeiten ", sagte Manske während einer Präsentation auf dem E-Crime Kongress in London. "Wir verlieren immer noch Geld."

Das Problem ist, dass Hacker Wege gefunden haben, Transaktionen in Echtzeit auszuführen, indem sie den iTan-Code verwenden und die Sicherheitskontrolle im Wesentlichen nutzlos machen.

Der Angriffsstil heißt man in In der Mitte kann ein Angreifer die Daten zwischen dem gehackten PC und einem Bankserver ändern. Eine andere Version heißt Mann im Browser, wo ein trojanisches Pferd die Transaktion modifiziert.

Manske, dessen Präsentation teilweise zensiert wurde, weil er sensible Informationen enthielt, zeigte zwei Szenarien, in denen iTan-Codes beim Geldtransfer verwendet werden In einem der Szenarien erhält das Opfer eine Bestätigung, dass es 500 € (677 US $) sendet. Tatsächlich hat ein Hacker die Informationen geändert und 5000 € auf ein anderes Konto überwiesen, sagte Manske.

Ein weiterer Vorfall zeigte, wie technisch fortschrittliche Malware-Programmierer geworden sind. Eine große deutsche Bank gab eine beträchtliche Menge Geld aus, um ein System zu implementieren, in dem ein Foto aus durcheinandergewürfelten Buchstaben, CAPTCHA (Completely Automated Public Turing Test, um Computer und Menschen zu trennen), mit Transaktionsdetails angezeigt würde, sagte Manske.

CAPTCHAs werden oft verwendet, um zu versuchen, automatisierte Bots daran zu hindern, beispielsweise zu viele E-Mail-Konten zu registrieren, da Computer beim Entschlüsseln von Zeichen nicht so gut bei Menschen sind. Im Falle der Bank wurde das CAPTCHA verwendet, um eine weitere Ebene der Transaktionsverifizierung bereitzustellen.

In einem weiteren überraschenden Beispiel für Cybercrime-Innovationen, so Manske, entwickelten die Angreifer eine spezielle Komponente, die eine perfekte Kopie des CAPTCHA liefern könnte ein Mann-in-der-Mitte-Angriff. Diese Kopie würde zusammen mit scheinbar korrekten Transaktionsdetails während eines Angriffs angezeigt werden.

"Es gibt einige sehr talentierte Programmierer da draußen", sagte Manske.