Policía alemana: Fallo de Autenticación de dos factores

Una autenticación de dos factores Un alto sistema de seguridad alemán dijo el martes:

A partir del año pasado, cerca del 95 por ciento de los clientes de la banca en línea usaban códigos "iTan", números secretos al azar. que se solicitan a un cliente del banco durante una transacción en línea, dijo Mirko Manske, superintendente jefe de detectives de la Oficina Federal de Policía Criminal de Alemania.

El código iTan se usa como una medida adicional de autenticación además de la información de inicio de sesión del cliente. El código iTan solo se puede usar una vez y tiene como objetivo frustrar los ataques bancarios en línea donde un atacante tiene toda la información del otro cliente.

[Lectura adicional: cómo eliminar el malware de su PC con Windows]

Pero "no trabajo ", dijo Manske durante una presentación en el E-crime Congress en Londres. "Todavía estamos perdiendo dinero".

El problema es que los piratas informáticos han descubierto formas de ejecutar transacciones en tiempo real, utilizando el código iTan y haciendo que el control de seguridad sea esencialmente inútil.

El estilo de ataque se llama hombre en el medio, donde un atacante puede modificar los datos intercambiados entre la PC pirateada y un servidor bancario. Otra versión se llama hombre en el navegador, donde un programa troyano modifica la transacción.

Manske, cuya presentación fue parcialmente censurada porque contenía información confidencial, mostró dos escenarios bajo los cuales se usan códigos iTan durante las transferencias de dinero.

En uno de los escenarios, la víctima recibe una confirmación de que están enviando € 500 (US $ 677). De hecho, un hacker ha modificado la información y transferido € 5,000 a otra cuenta, dijo Manske.

Otro incidente mostró cuán técnicamente avanzados se han vuelto los programadores de malware. Un importante banco alemán gastó una cantidad significativa de dinero implementando un sistema donde una foto de letras mezcladas, llamada CAPTCHA (prueba de automatización completa de Turing para distinguir computadoras y seres humanos), se mostraría con los detalles de la transacción, dijo Manske.

Los CAPTCHA se usan a menudo para tratar de evitar que los bots automatizados se registren, por ejemplo, demasiadas cuentas de correo electrónico, ya que las computadoras no son tan buenas para los humanos a la hora de decodificar montones de personajes. En el caso del banco, el CAPTCHA se usó para proporcionar otro nivel de verificación de transacciones.

En otro sorprendente ejemplo de innovación en cibercrimen, dijo Manske, los atacantes desarrollaron un componente especial que podría proporcionar una copia perfecta del CAPTCHA para ser utilizado para un ataque de hombre en el medio. Esa copia se mostraría junto con detalles de transacción aparentemente correctos durante un ataque.

"Hay algunos programadores con mucho talento por ahí", dijo Manske.