Postbank ограбили студенты

Программистам Бохумского университета (Германия) не составило труда взломать новую систему безопасности немецкого Postbank
Забезпечте стрімке зростання та масштабування компанії у 2024-му! Отримайте алгоритм дій на Business Wisdom Summit.
10 квітня управлінці Арсенал Страхування, Uklon, TERWIN, Епіцентр та інших великих компаній поділяться перевіреними бізнес-рішеннями, які сприяють розвитку бізнесу під час війни.
Забронировать участие

Бохумские студенты во время экспериментальной атаки одновременно выстроили online-диалог с банком и клиентом. С помощью такого рода посредничества ответ на запрос номера происходит тут же. «Это было намного легче, чем мы представляли», - говорит участник эксперимента программист Хенрик Хеесен.

Сама возможность взлома защитной системы означает тяжелый удар для банковских он-лайн-технологий, использование которых позволяет банкам экономить в солидные суммы. Однако теперь сэкономленные деньги, скорее всего, пойдут на борьбу с хакерскими атаками.

Как это работает

Основное назначение так называемой iTAN-системы состоит в нейтрализации опасности, имеющей место при проведении он-лайн-транзакций. Клиент подтверждает проведенную транзакцию с помощью так называемого транзакционного номера - TAN. Однако в последнее время участились случаи, когда хакеры по электронной почте заманивают клиента на фальшивый сайт, получая таким образом секретную информацию. Подобные попытки планировалось пресекать с помощью использования индексированного транзакционного номера - iTAN, когда банк требует строго определенный номер из TAN-списка клиента. Однако даже студентам потребовалось всего несколько дней, чтобы придумать схему, позволяющую избегать iTAN-процедуру, и применить ее при переводе символической суммы в 1 евро. Postbank и Deutsche Bank находятся на стадии внедрения этой системы. Следом за лидерами подобную систему планировали внедрить мелкие розничные банки.

Клиенты тоже виноваты

Для экспертов по безопасности результаты эксперимента не стали неожиданностью. «Если злоумышленники чуть подкорректируют свои действия, iTAN останется не у дел», - говорят специалисты. На практике убытки клиентов от хакеров покрываются в основном за счет банков. С правовой же точки зрения, часть ответственности лежит и на клиенте. Решением проблемы может стать использование приборов типа card-reader. Однако подобные меры не вызовут восторга у клиентов, так как в этом случае транзакции можно будет проводить только с домашних ПК.