Ferenc, Olívia
-4 °C
4 °C

Feltörhető az ITAN-azonosító

2005.11.16. 10:30
Nagy reményekkel indult útjára az online banki kapcsolat ellenőrzéséhez használt indexelt tranzakciós azonosító (ITAN), az eljárásról azonban alig egy nap alatt bebizonyították, hogy könnyen támadható. A gyenge láncszem ez alkalommal is maga az ügyfél.

A német Ruhr egyetem kutatóinak az áthaladó forgalmat ellenőrző "man in the middle" támadással sikerült feltörniük az ITAN eljárást. Az új azonosítóhoz a német Postabanknál az online banki kapcsolatban fűztek nagy reményeket, éppen a felfutó phising-próbálkozások miatt.

A bochumi Ruhr egyetem kutatói az új eljárást phising alkalmazásával kerülte meg, közölte a hét végén az egyetem internetes biztonsággal foglalkozó kutatócsoportja. A phising néven azokat a csaló emaileket emlegetik, amelyek egyetlen célja a banki ügyfelek PIN-számának és tranzakciós azonosítójának (TAN) megszerzése.

Egy nap alatt kidolgozták

A fejlettebb azonosító volna az ITAN. Ennél a felhasználó már nem adhat meg tetszőleges TAN-t, hanem egy bizonyos azonosítót kell megismételnie, amelyet a bank szervere közöl vele.

Az egyetemi munkacsoportnak nem került egy napjába, hogy feltörje a rendszert, és jelképes, egyeurós összeget utaljon át. Viszont betartva a bankok által közölt biztonsági előírásokat a rendszer biztonságos, áll az egyetem közleményében.

A felhasználó könnyelműségére viszont mindig lehet építeni, még ha ez nem több emailek puszta kinyitásánál. Ezen a területen további felvilágosító munkára van szükség, vélik a biztonsági szakértők.

Passzolgatja a válaszokat

A "támadás" során a csaló emailt küld a reménybeli áldozatnak. Ennek egyetlen célja, hogy hamis, de hihető állításokkal rávegye a csatolt állomány megnyitására, és a banki oldalhoz megtévesztésig hasonló internetes cím felkeresésére.

Az áldozatot itt még figyelmeztethetné, hogy hiányzik az SSL-eljárásra figyelmeztető ikon. A Németországban ismertté vált phising-eseteknél ugyanakkor a felhasználók figyelmét ez mindig elkerülte, idézte a PC Welt Jörg Schwenk, az egyetem informatikai biztonsági részlege vezetőjének szavait.

A hamis weboldal felszólítja az áldozatot, hogy adja meg számlaszámát és PIN-kódját. Amint az adatok megérkeztek a csalóhoz, az nyomban bejelentkezik a valódi banki szerverre. A tranzakció indításához szükséges ITAN-ra vonatkozó kérdés automatikusan továbbmegy az áldozathoz. A válaszból a támadó már minden szükséges adathoz hozzájut, és például saját szakállára átutalást indíthat.