Polizia tedesca: Autenticazione a due fattori non riuscita

Autenticazione a due fattori un sistema ampiamente utilizzato in Germania non riesce a impedire ai criminali informatici di svuotare i conti bancari, ha detto martedì un alto funzionario delle forze dell'ordine tedesco.

A partire dallo scorso anno, circa il 95% degli utenti tedeschi online utilizzava codici "iTan", numeri segreti casuali richiesto da un cliente bancario durante una transazione online, ha dichiarato Mirko Manske, sovrintendente capo detective dell'ufficio federale di polizia criminale della Germania.

Il codice iTan viene utilizzato come misura aggiuntiva di autenticazione oltre alle informazioni di accesso del cliente. Il codice iTan può essere utilizzato una sola volta ed è inteso a contrastare gli attacchi bancari online in cui un utente malintenzionato ha tutte le altre informazioni sui clienti.

[Ulteriori letture: Come rimuovere malware dal PC Windows]

Ma "non lavoro ", ha detto Manske durante una presentazione al Congresso E-crime a Londra. "Stiamo ancora perdendo soldi".

Il problema è che gli hacker hanno escogitato modi per eseguire transazioni in tempo reale, utilizzando il codice iTan e rendendo sostanzialmente inutile il controllo di sicurezza.

Lo stile di attacco si chiama man in al centro, dove un utente malintenzionato è in grado di modificare i dati scambiati tra il PC compromesso e un server bancario. Un'altra versione è chiamata man nel browser, dove un programma cavallo di Troia modifica la transazione.

Manske, la cui presentazione era parzialmente censurata poiché conteneva informazioni sensibili, mostrava due scenari in cui i codici iTan vengono utilizzati durante i trasferimenti di denaro.

In uno degli scenari, la vittima riceve una conferma che sta inviando € 500 (US $ 677). In effetti, un hacker ha modificato le informazioni e trasferito € 5.000 su un altro account, ha detto Manske.

Un altro incidente ha mostrato quanto i programmatori di malware tecnicamente avanzati siano diventati. Una delle principali banche tedesche ha speso una notevole quantità di denaro per implementare un sistema in cui una foto di lettere confuse, chiamata CAPTCHA (Test di Turing pubblico completamente automatico per informare computer e uomini a parte), sarebbe stata mostrata con dettagli sulle transazioni, ha detto Manske.

I CAPTCHA sono spesso usati per cercare di impedire la registrazione di bot automatizzati, ad esempio, troppi account di posta elettronica, poiché i computer non sono all'altezza degli umani nella confusione di caratteri. Nel caso della banca, il CAPTCHA è stato utilizzato per fornire un altro livello di verifica delle transazioni.

In un altro sorprendente esempio di innovazione nel cybercrime, Manske ha detto che gli aggressori hanno sviluppato un componente speciale che potrebbe rendere una copia perfetta del CAPTCHA da utilizzare per un attacco man-in-the-middle. Quella copia sarebbe stata visualizzata insieme ai dettagli apparentemente corretti della transazione durante un attacco.

"Ci sono alcuni programmatori di grande talento là fuori", ha detto Manske.