گوناگون

احراز هویت دو مرحله ای بانکی هم قابل دور زدن است

احراز هویت دو مرحله ای به طور گسترده توسط موسسات بانکی مورد استفاده قرار می گیرد اما این روش محبوب هم مورد تهاجم قرار می گیرد.

به گزارش خبرنگار فناوری اطلاعات خبرگزاری فارس، کاسپرسکی اعلام کرد: دو عامل احراز هویت به طور گسترده ای توسط موسسات بانکی مورد استفاده هستند. البته این روش حتی بهتر از کلمات عبور غیر قابل نفوذ کار می کند. اما متخصصان امنیتی یافته اند که این روش محبوب از 10 سال پیش که در اوج محبوبیت قرار داشت هم مورد تهاجم قرار گرفته بود.

این کاری است که سازندگان بدافزارها انجام می دهند. به همین دلیل توسعه دهندگان تروجان های بانکی با یک پیامک به سهولت به کلمات عبور دست پیدا می کردند. چگونگی این عملکرد در زیر شرح داده شده است:

کاربری که نرم افزار بانکداری را در گوشی هوشمند خود راه اندازی می کند.

تروجان می تواند برنامه مورد استفاده را شناسائی کند و با پوشش مشروع یک کپی جعلی از صفحه بانک نمایش دهد و صفحه جعلی هم کاملا واقعی به نظر می رسد.

قربانی روی برنامه جعلی، حساب کاربری و رمز عبور را وارد می کند.

تروجان اعتبار کاربر را برای مجرمان سایبری ارسال می کند. مجرمان هم با استفاده از این داده ها به نرم افزار بانکداری کاربر وارد می شوند.

سپس مجرمان معاملات مالی را با حسابهای خود انجام می دهند.

قربانی روی موبایل خود پیامک یکبار رمز را دریافت می کند.

تروجان کلمه عبور را از پیامک استخراج کرده و برای مهاجم سایبری ارسال می کند.

سپس پیامک از دید کاربر پنهان می شود. به همین دلیل قربانی از عملیات جاری در حساب بانکی و تاریخ معاملات بی خبر می ماند.

مجرمان با استفاده از رمز عبور معاملات را انجام داده و پول قربانی را به سرقت می برند.

اگر بگوییم که هر تروجان قدرتمندی می تواند از حفره های نفوذ دو عامل سیستم احراز هویت مبنی بر پیامک عبور کند اغراق نکرده ایم. در واقع سازندگان این بدافزارها انتخاب دیگری هم ندارند همانطور که تمامی بانکها به نوبه خود برای اقدام به محافظت نیاز به وفق دادن خود با سیستم تروجان ها دارند.

بیشتر از آنچه که فکر کنید برنامه های بسیار مخربی وجود دارند که قادرند عملیاتی این چنینی انجام دهند. در طول چند ماه گذشته کارشناسان کسپرسکی سه گزارش مفصل برای سه بدافزار مختلف منتشر کرده اند که هر یک از دیگری خطرناک تر هستند.

Asacub یک برنامه جاسوسی که با استفاده از تروجان های تکامل یافته توسط تلفن همراه قربانی از حساب بانکی پول سرقت می کند.

Acecard یک تروجان بسیار قدرتمند است که می تواند بیش از 30 برنامه بانکی متفاوت را تحت پوشش حملات خود قرار دهد. به هر حال بدافزارهای تلفن همراه بر این روند تسلط پیدا کرده اند. در ابتدا تروجان ها از یک برنامه برای یک بانک در جهت پرداخت ها استفاده می کردند اما در حال حاضر می توانند از چندین برنامه جعلی در یک زمان واحد استفاده کنند.

Banloader یک تروجان برزیلی است که با روش (چند سکوئی) cross-platform قادر است خود را بطور همزمان روی رایانه و دستگاه های تلفن همراه راه اندازی کند.

بنابراین می بینید که دو عامل احراز هویت نمی تواند از کاربر در برابر تروجان های بانکی محافظت کند. سالها است که این عملکرد با ایراد همراه است و وضعیت آن هم امروزه بهتر نشده است. قوانین اساسی در اینجا به کمک می آیند اما نه 100 درصد، زیرا این برنامه ها می توانند در فروشگاه های رسمی هم وجود داشته باشند زیرا به اندازه کافی در فروشگاه های بازی و نرم افزار، تروجان وجود دارد.

 

درباره نویسنده

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *