जर्मन पुलिस: दो-कारक प्रमाणीकरण विफल रहा

एक दो-कारक प्रमाणीकरण जर्मनी में व्यापक रूप से उपयोग की जाने वाली प्रणाली साइबर अपराधियों को बैंक खातों को निकालने से रोकने में नाकाम रही है, एक शीर्ष जर्मन कानून प्रवर्तन अधिकारी ने मंगलवार को कहा।

पिछले वर्ष के अनुसार, लगभग 9 5 प्रतिशत जर्मन ऑनलाइन बैंकिंग संरक्षक "आईटान" कोड, यादृच्छिक गुप्त संख्याओं का उपयोग कर रहे थे जर्मनी के संघीय आपराधिक पुलिस कार्यालय के जासूस मुख्य अधीक्षक मिर्को मंसके ने कहा कि एक ऑनलाइन लेनदेन के दौरान बैंक ग्राहक से अनुरोध किया जाता है।

आईटान कोड ग्राहक की लॉगिन जानकारी के अलावा प्रमाणीकरण के अतिरिक्त उपाय के रूप में उपयोग किया जाता है। ITan कोड का उपयोग केवल एक बार किया जा सकता है और इसका उद्देश्य ऑनलाइन बैंकिंग हमलों को विफल करना है जहां एक हमलावर की अन्य सभी ग्राहक जानकारी होती है।

[आगे पढ़ें: अपने विंडोज पीसी से मैलवेयर कैसे निकालें]

लेकिन "यह नहीं है काम, "लंदन में ई-अपराध कांग्रेस में एक प्रस्तुति के दौरान मंसके ने कहा। "हम अभी भी पैसे खो रहे हैं।"

समस्या यह है कि हैकर्स ने वास्तविक समय में लेनदेन निष्पादित करने, आईटान कोड का उपयोग करने और सुरक्षा नियंत्रण को अनिवार्य रूप से बेकार बनाने के तरीकों का पता लगाया है।

हमले की शैली को मनुष्य कहा जाता है बीच, जहां एक हमलावर हैक किए गए पीसी और बैंक सर्वर के बीच आदान-प्रदान डेटा को संशोधित करने में सक्षम है। ब्राउज़र में एक अन्य संस्करण को ब्राउज़र कहा जाता है, जहां एक ट्रोजन हॉर्स प्रोग्राम लेनदेन को संशोधित करता है।

मंसके, जिनकी प्रस्तुति आंशिक रूप से सेंसर की गई थी क्योंकि इसमें संवेदनशील जानकारी थी, जिसमें दो परिदृश्य दिखाए गए थे जिसके तहत धन हस्तांतरण के दौरान आईटान कोड का उपयोग किया जाता था।

परिदृश्यों में से एक को पीड़ित को यह पुष्टि मिलती है कि वे € 500 (यूएस $ 677) भेज रहे हैं। वास्तव में, एक हैकर ने सूचना में संशोधन किया है और € 5,000 को दूसरे खाते में स्थानांतरित कर दिया है।

एक और घटना से पता चला कि तकनीकी रूप से उन्नत मैलवेयर प्रोग्रामर कैसे बन गए हैं। एक प्रमुख जर्मन बैंक ने एक प्रणाली को कार्यान्वित करने में काफी धनराशि खर्च की, जहां कंब्टा (पूरी तरह से ऑटोमेटेड पब्लिक ट्यूरिंग टेस्ट टू कंप्यूटर और इंसानों के अलावा) को झुका हुआ पत्रों की एक तस्वीर, लेनदेन के विवरण के साथ प्रदर्शित की जाएगी, मंसके ने कहा।

कैप्चा का उपयोग स्वचालित रूप से पंजीकरण से स्वचालित बॉट को रोकने और रोकने के लिए किया जाता है, उदाहरण के लिए, बहुत से ई-मेल खाते, क्योंकि कंप्यूटर मनुष्यों पर पात्रों के झुकावों पर उतरने के लिए अच्छे नहीं होते हैं। बैंक के मामले में, कैप्चा का उपयोग लेनदेन सत्यापन का एक और स्तर प्रदान करने के लिए किया गया था।

साइबर क्राइम नवाचार के एक और आश्चर्यजनक उदाहरण में, मानस ने कहा, हमलावरों ने एक विशेष घटक विकसित किया जो कैप्चा की एक पूर्ण प्रतिलिपि प्रस्तुत करने के लिए उपयोग कर सकता था एक मैन-इन-द-बीच हमला। हमले के दौरान उस प्रतिलिपि को सही लेनदेन के विवरण के साथ प्रदर्शित किया जाएगा।

"वहां कुछ बहुत ही प्रतिभाशाली प्रोग्रामर हैं," मंसके ने कहा।