Tyska polisen: Tvåfaktors autentisering misslyckas

En tvåfaktorsautentisering System som i stor utsträckning används i Tyskland misslyckas med att stoppa cyberkriminella från att tömma bankkonton, sade en tysk brottsbekämpande tjänsteman i tisdags.

Från och med förra året använde cirka 95 procent av tyska bankkonsulenter "iTan" -koder, slumpmässiga hemliga siffror som begärs av en bankkund under en online-transaktion, säger Mirko Manske, detektivchef för Tysklands federala brottsbekämpningsbyrå.

iTan-koden används som en ytterligare åtgärd för autentisering utöver kundens inloggningsinformation. ITan-koden kan bara användas en gång och är avsedd att motverka onlinebankattacker där en angripare har all annan information om kunden.

[Ytterligare läsning: Så här tar du bort skadlig kod från din Windows-dator]

Men "det gör inte arbete ", sade Manske under en presentation på E-crime kongressen i London. "Vi förlorar fortfarande pengar."

Problemet är att hackare har funderat på sätt att genomföra transaktioner i realtid genom att använda iTan-koden och göra säkerhetskontrollen väsentligt meningslös.

Anfallsstilen kallas man i i mitten, där en angripare kan ändra data som utväxlas mellan hackad dator och en bankserver. En annan version kallas man i webbläsaren, där ett trojansk hästprogram modifierar transaktionen.

Manske, vars presentation delvis var censurerad eftersom den innehöll känslig information, visade två scenarier under vilka iTan-koder används vid överföringar av pengar.

I ett av scenarierna får offeret en bekräftelse på att de skickar € 500 (US $ 677). I själva verket har en hacker ändrat informationen och överfört 5 000 euro till ett annat konto, säger Manske.

En annan incident visade bara hur tekniskt avancerade malwareprogrammerare har blivit. En stor tysk bank spenderade en stor summa pengar för att implementera ett system där ett foto av jumblade bokstäver, kallad CAPTCHA (helt automatiserad public turing-test för att berätta för datorer och människor) skulle visas med transaktionsdetaljer, säger Manske.

CAPTCHAs används ofta för att försöka stoppa automatiserade bots från att registrera, till exempel, för många e-postkonton, eftersom datorer inte är lika bra på människor när man avkalker karaktärer. I bankens fall användes CAPTCHA för att tillhandahålla en annan nivå av transaktionsverifiering. I ett annat överraskande exempel på cyberkriminalitetsinnovation sa Manske att angriparna utvecklade en speciell komponent som kunde göra en perfekt kopia av CAPTCHA som skulle användas för en man-i-mitten attack. Den kopian skulle visas tillsammans med till synes korrekta transaktionsdetaljer under en attack.

"Det finns några väldigt begåvade programmerare där ute", säger Manske.