- Категория
- Бизнес
- Дата публикации
Postbank ограбили студенты
Бохумские студенты во время экспериментальной атаки одновременно выстроили online-диалог с банком и клиентом. С помощью такого рода посредничества ответ на запрос номера происходит тут же. «Это было намного легче, чем мы представляли», - говорит участник эксперимента программист Хенрик Хеесен.
Сама возможность взлома защитной системы означает тяжелый удар для банковских он-лайн-технологий, использование которых позволяет банкам экономить в солидные суммы. Однако теперь сэкономленные деньги, скорее всего, пойдут на борьбу с хакерскими атаками.
Как это работает
Основное назначение так называемой iTAN-системы состоит в нейтрализации опасности, имеющей место при проведении он-лайн-транзакций. Клиент подтверждает проведенную транзакцию с помощью так называемого транзакционного номера - TAN. Однако в последнее время участились случаи, когда хакеры по электронной почте заманивают клиента на фальшивый сайт, получая таким образом секретную информацию. Подобные попытки планировалось пресекать с помощью использования индексированного транзакционного номера - iTAN, когда банк требует строго определенный номер из TAN-списка клиента. Однако даже студентам потребовалось всего несколько дней, чтобы придумать схему, позволяющую избегать iTAN-процедуру, и применить ее при переводе символической суммы в 1 евро. Postbank и Deutsche Bank находятся на стадии внедрения этой системы. Следом за лидерами подобную систему планировали внедрить мелкие розничные банки.
Подписывайтесь на Youtube-канал delo.uaКлиенты тоже виноваты
Для экспертов по безопасности результаты эксперимента не стали неожиданностью. «Если злоумышленники чуть подкорректируют свои действия, iTAN останется не у дел», - говорят специалисты. На практике убытки клиентов от хакеров покрываются в основном за счет банков. С правовой же точки зрения, часть ответственности лежит и на клиенте. Решением проблемы может стать использование приборов типа card-reader. Однако подобные меры не вызовут восторга у клиентов, так как в этом случае транзакции можно будет проводить только с домашних ПК.