Одноразовые пароли: новости из мира хакеров
Одноразовые пароли: новости из мира хакеров
Как стало известно из обзора технологических новинок, опубликованного на сайте Массачусетского технологического института (MIT), двухфакторная аутентификация, которая активно используется при проведении онлайновых банковских операций, больше не считается абсолютно безопасной для создания надежной защиты. История ее взлома впрямь получилась детективной.
В середине июля этого года бухгалтер производственной копании Ferma (Маунтин-Вью, шт. Калифорния) вошел в онлайновую банковскую систему для выполнения текущих операций по счету компании, где он работает. Для его аутентификации использовалась технология защиты с одноразовыми паролями, что было сделано для повышения безопасности системы.
Однако оказалось, что на машине этого пользователя присутствовал «попутчик». Тщательное исследование его компьютера, проведенное в последующем, показало, что до злополучного входа в банковскую онлайновую систему он посетил некий Web-сайт, откуда в его компьютер внедрился вредоносный программный код. Когда бухгалтер стал выполнять через онлайн-банкинг легитимные банковские операции, программа одновременно с ними инициализировала 27 банковских транзакций по различным счетам, что в итоге привело к незаконному перечислению денежных средств на сумму 447 долл. Все было сделано за считанные минуты. «Они не только смогли внедриться в мой системный кабинет, но и сумели точно узнать, сколько средств они могут снять, поскольку посмотрели установленные мною лимиты по операциям». Это слова подставленного менеджера, которым оказался Рой Феррари, президент компании Ferma.
Кража удалась несмотря на то, что в Ferma применялась система одноразовых паролей, шестизначных цифровых кодов, генерируемых специальным электронным устройством (токеном), которые меняются каждые 30–60 с. Онлайновые мошенники обошли эту систему защиты, используя специальную программу – работающего в реальном времени «трояна», который выполнял нужные им транзакции, пока пользователь находился в онлайновом режиме в банковской системе.
Эксперты по безопасности, проанализировавшие эту ситуацию, утверждают, что вина в данном случае лежит на банке, который должен был предложить своим клиентам более сложную и надежную систему безопасности, чем в данном случае. Например, можно было бы увеличить число защищенных переходов, предложив барьеры с генерацией дополнительных одноразовых ключей. Или нечто подобное.
Другим возможным решением могло бы быть использование дополнительных каналов подтверждения. Например, координация транзакций через звонок по телефону или передачу контрольного значения средствами SMS.
Решение всегда есть. Но следует также помнить: игра с хакерами – это как игра в кошки-мышки. В ней изобретательными должны быть не только кошки, но и мышки. Тогда за этим процессом можно наблюдать долго. Если же одна из сторон перестает быть изобретательной, то игра быстро заканчивается.