Polecamy Poważne luki w systemach SSO OpenID i Facebooka
W odróżnieniu SpyEye czy Zeusa, które zazwyczaj "angażują" w proceder użytkownika, są to ataki zautomatyzowane, mogące przejść przez bardziej skomplikowane uwierzytelnianie dwuskładnikowe oparte na podłączanych do komputera tokenach generujących jednorazowe hasła. Działania użytkownika związane z procesem uwierzytelnienia są wplecione w ten zautomatyzowany cyberprzestępczy proces.
W typowym transferze środków pieniężnych wyróżnia się dwa kroki: logowanie do konta i następnie autoryzacja przelewu. W przedstawionym w raporcie schemacie High Roller, złośliwy kod podmienia procedurę logowania w taki sposób, że w tym jednym kroku przechwytuje informacje potrzebne do wykonania obu. Po zebraniu informacji wymaganej dla całej transakcji, malware blokuje akcje użytkownika i wykonuje transakcje przelewu w tle, korzystając z legalnego tokena cyfrowego uwierzytelniającego przelew. Napastnik może powielać ten zautomatyzowany proces na inne konta i używać go wiele razy w tym samym systemie bankowości.
Polecamy Honeypot - poznaj swojego wroga
W opinii McAfee i Guardian Analytics wynalezienie sposobu na przejście dwuskładnikowego uwierzytelniania wykorzystującego urządzenia fizyczne podłączane do komputera jest istotnym przełomem w dziedzinie cyberoszustw. Instytucje finansowe muszą wziąć pod uwagę te innowacyjne metody ataku, a zwłaszcza rozważyć czy używana technika może być poszerzona na inne rodzaje fizycznych urządzeń zabezpieczających. Przy czym nie należy wpadać w panikę - metoda tokenów generujących hasła jednorazowe jest solidnym zabezpieczeniem - niezbędne jest poprawienie procedur dwuskładnikowego uwierzytelniania, aby uniemożliwić takie cyberoszustwa. Niektórzy specjaliści uważają, że problem leży w tym, iż proces uwierzytelniania nie jest bezpośrednio powiązany z bankowym procesem walidacji transakcji i numerem konta. Są to dzisiaj dwa oddzielne procesy, ale istnieje możliwość ich połączenia w celu uniknięcia takich wymyślnych ataków.
Polecamy Jeden prosty krok do lepszego bezpieczeństwa sieci
Problem dwuskładnikowego uwierzytelniania pojawił się także w związku z pracami francuskich naukowców z Narodowego Instytutu Badań w dziedzinie Informatyki i Automatyki (INRIA). W mocno technicznym referacie "Efficient Padding Oracle Attacks on Cryptographic Hardware" opisali oni praktyczne metody przyśpieszania ataków mających na celu uzyskanie kluczy kryptograficznych ze znanych tokenów i kart kryptograficznych.
Brak komentarzy:
Prześlij komentarz