Megkerülhető a kétlépcsős banki azonosítás is? Nem biztonságos az SMS azonosításos beléptetés?

A legtöbb webes szolgáltatásban már beállítható kétfaktoros azonosítás annak érdekében, hogy felhasználói fiókjaink minél nagyobb biztonságban legyenek. Az online bankolás esetében ez lényegében kötelező, ám a jelek szerint ez sem garantálja teljesen a fiókok biztonságát.

Forrás: computerworld

Forrás: computerworld

Az IBM Trusteer kutatói számoltak be arról, hogy csalóknak több millió dollárt sikerül online bankfiókokról meglovasítania, melyhez telefonos emulátorokat használtak. Ezek segítségével sikerül megtéveszteniük a bankok beléptető rendszerét, és 16 ezernyi felhasználói mobilt “utánoztak”, ami azt jelenti, hogy sikerült az SMS-ben kapott azonosítóval belépjenek olyan fiókokba, melyek adatait korábban valamilyen módon megszerezték.

Ehhez több mint 20 emulátort használtak, melyekkel az online bankfiókokba belépve, úgy tettek, mintha a felhasználók próbálnának hozzáférni számlájukhoz. A visszaigazoló kód pedig nem az eredeti tulajdonos mobiljára érkezett, hanem a csalók által futtatott virtuális telefonokra.

“Az adatforrások, szkriptek és egyedi alkalmazások, melyeket a támadók készítettek, egy átfogó, automatizált folyamat részei voltak, melyek olyan sebességet biztosítottak számukra, melynek köszönhetően több millió dollárt tudtak kicsalni az áldozatul esett bankoktól.” – olvasható az IBM Trusteer közleményében.

A szakértők úgy gondolják, hogy a belépéshez szükséges adatokhoz adathalászattal vagy kártevők telepítésével juthattak hozzá a támadók. Egyelőre sajnos a legtöbb bank SMS-ben kínálja a kétlépcsős beléptetést, noha erre lennének biztonságosabb módszerek is.

Ezek kiváltására léteznek kifejezetten erre a célra kifejlesztett azonosító alkalmazások, melyek használatával sokkal biztonságosabbá tehetjük felhasználói fiókjainkat. Amelyik oldal engedi, ott hardveres biztonsági kulcsgenerálókat használhatunk; ezek közül a legbiztonságosabbakat,. Érdemes tehát végiggondolni, hogy szimpla üzenetekkel megoldott módszert választunk, vagy egy kicsit szofisztikáltabb megoldást, például valamilyen autentikátor appot alkalmazunk.

A biometrikus megoldások is vastagon ajánlhatók, például az írisz-szkennelésen, ujjlenyomat-olvasáson alapuló módszerek, ezeket ugyanis azok, akik illetéktelenül jutottak hozzá belépési adatainkhoz, szintén nem tudják kijátszani. Egyes szolgáltatók, például pénzintézetek már ajánlják, vagy egyes esetekben kifejezetten megkövetelik ilyen appok használatát.

Mindenesetre érdemes lehet havonta végigbogarászni bankszámlánkon történő mozgásokat, hogy észrevegyük, ha csalás áldozatául estünk.

Forrás: computerworld

Kapcsolódó cikkek:

Hozzászólások