W raporcie "Dissecting Operation High Roller" przygotowanym przez McAfee i Guardian Analytics, możemy przeczytać o tym jak przestępcze gangi podejmują próby wyprowadzania dużych pieniędzy z kont bankowych, wykorzystując w tym celu zautomatyzowany proces. Dwuskładnikowe uwierzytelnianie nie tylko nie powstrzymuje napastników, ale jest elementem tego procesu.

Polecamy Poważne luki w systemach SSO OpenID i Facebooka

Zobacz również:

• Google ogłasza ogólną dostępność uwierzytelniania się za pomocą kluczy dostępu
• Ponad pół miliona kont Roku w niebezpieczeństwie po ataku

W odróżnieniu SpyEye czy Zeusa, które zazwyczaj "angażują" w proceder użytkownika, są to ataki zautomatyzowane, mogące przejść przez bardziej skomplikowane uwierzytelnianie dwuskładnikowe oparte na podłączanych do komputera tokenach generujących jednorazowe hasła. Działania użytkownika związane z procesem uwierzytelnienia są wplecione w ten zautomatyzowany cyberprzestępczy proces.

W typowym transferze środków pieniężnych wyróżnia się dwa kroki: logowanie do konta i następnie autoryzacja przelewu. W przedstawionym w raporcie schemacie High Roller, złośliwy kod podmienia procedurę logowania w taki sposób, że w tym jednym kroku przechwytuje informacje potrzebne do wykonania obu. Po zebraniu informacji wymaganej dla całej transakcji, malware blokuje akcje użytkownika i wykonuje transakcje przelewu w tle, korzystając z legalnego tokena cyfrowego uwierzytelniającego przelew. Napastnik może powielać ten zautomatyzowany proces na inne konta i używać go wiele razy w tym samym systemie bankowości.

Polecamy Honeypot - poznaj swojego wroga

W opinii McAfee i Guardian Analytics wynalezienie sposobu na przejście dwuskładnikowego uwierzytelniania wykorzystującego urządzenia fizyczne podłączane do komputera jest istotnym przełomem w dziedzinie cyberoszustw. Instytucje finansowe muszą wziąć pod uwagę te innowacyjne metody ataku, a zwłaszcza rozważyć czy używana technika może być poszerzona na inne rodzaje fizycznych urządzeń zabezpieczających. Przy czym nie należy wpadać w panikę - metoda tokenów generujących hasła jednorazowe jest solidnym zabezpieczeniem - niezbędne jest poprawienie procedur dwuskładnikowego uwierzytelniania, aby uniemożliwić takie cyberoszustwa. Niektórzy specjaliści uważają, że problem leży w tym, iż proces uwierzytelniania nie jest bezpośrednio powiązany z bankowym procesem walidacji transakcji i numerem konta. Są to dzisiaj dwa oddzielne procesy, ale istnieje możliwość ich połączenia w celu uniknięcia takich wymyślnych ataków.

Polecamy Jeden prosty krok do lepszego bezpieczeństwa sieci

Problem dwuskładnikowego uwierzytelniania pojawił się także w związku z pracami francuskich naukowców z Narodowego Instytutu Badań w dziedzinie Informatyki i Automatyki (INRIA). W mocno technicznym referacie "Efficient Padding Oracle Attacks on Cryptographic Hardware" opisali oni praktyczne metody przyśpieszania ataków mających na celu uzyskanie kluczy kryptograficznych ze znanych tokenów i kart kryptograficznych.