Fábián, Sebestyén
-12 °C
-3 °C

Feltörhető az ITAN-azonosító

2005.11.16. 10:30
Nagy reményekkel indult útjára az online banki kapcsolat ellenőrzéséhez használt indexelt tranzakciós azonosító (ITAN), az eljárásról azonban alig egy nap alatt bebizonyították, hogy könnyen támadható. A gyenge láncszem ez alkalommal is maga az ügyfél.

A német Ruhr egyetem kutatóinak az áthaladó forgalmat ellenőrző "man in the middle" támadással sikerült feltörniük az ITAN eljárást. Az új azonosítóhoz a német Postabanknál az online banki kapcsolatban fűztek nagy reményeket, éppen a felfutó phising-próbálkozások miatt.

A bochumi Ruhr egyetem kutatói az új eljárást phising alkalmazásával kerülte meg, közölte a hét végén az egyetem internetes biztonsággal foglalkozó kutatócsoportja. A phising néven azokat a csaló emaileket emlegetik, amelyek egyetlen célja a banki ügyfelek PIN-számának és tranzakciós azonosítójának (TAN) megszerzése.

Egy nap alatt kidolgozták

A fejlettebb azonosító volna az ITAN. Ennél a felhasználó már nem adhat meg tetszőleges TAN-t, hanem egy bizonyos azonosítót kell megismételnie, amelyet a bank szervere közöl vele.

Az egyetemi munkacsoportnak nem került egy napjába, hogy feltörje a rendszert, és jelképes, egyeurós összeget utaljon át. Viszont betartva a bankok által közölt biztonsági előírásokat a rendszer biztonságos, áll az egyetem közleményében.

A felhasználó könnyelműségére viszont mindig lehet építeni, még ha ez nem több emailek puszta kinyitásánál. Ezen a területen további felvilágosító munkára van szükség, vélik a biztonsági szakértők.

Passzolgatja a válaszokat

A "támadás" során a csaló emailt küld a reménybeli áldozatnak. Ennek egyetlen célja, hogy hamis, de hihető állításokkal rávegye a csatolt állomány megnyitására, és a banki oldalhoz megtévesztésig hasonló internetes cím felkeresésére.

Az áldozatot itt még figyelmeztethetné, hogy hiányzik az SSL-eljárásra figyelmeztető ikon. A Németországban ismertté vált phising-eseteknél ugyanakkor a felhasználók figyelmét ez mindig elkerülte, idézte a PC Welt Jörg Schwenk, az egyetem informatikai biztonsági részlege vezetőjének szavait.

A hamis weboldal felszólítja az áldozatot, hogy adja meg számlaszámát és PIN-kódját. Amint az adatok megérkeztek a csalóhoz, az nyomban bejelentkezik a valódi banki szerverre. A tranzakció indításához szükséges ITAN-ra vonatkozó kérdés automatikusan továbbmegy az áldozathoz. A válaszból a támadó már minden szükséges adathoz hozzájut, és például saját szakállára átutalást indíthat.

Utazás aggodalom nélkül?

Utazása előtt sose feledkezzen el utasbiztosításáról!

Pihenjen Szép kártyával!

Egy kis lazítás Önnek is jár! Íme a Szép kártya elfogadóhelyek.