Cầu bá» hà nh vượt ÄÆ°á»ng sắt gây tranh cãi á» Thanh Hoá
Xác thực hai yếu tố hệ thống được sử dụng rộng rãi ở Đức là không ngăn chặn tội phạm mạng rút tiền từ tài khoản ngân hàng, một quan chức thực thi pháp luật hàng đầu của Đức cho biết vào ngày thứ 3
Năm ngoái, khoảng 95% khách hàng ngân hàng trực tuyến của Đức sử dụng mã iTan được yêu cầu của một khách hàng ngân hàng trong một giao dịch trực tuyến, Mirko Manske, giám đốc điều hành của Văn phòng Cảnh sát Liên bang Đức cho biết.
Mã iTan được sử dụng như một biện pháp xác thực bổ sung bên cạnh thông tin đăng nhập của khách hàng. Mã iTan chỉ có thể được sử dụng một lần và nhằm ngăn chặn các cuộc tấn công ngân hàng trực tuyến, nơi kẻ tấn công có tất cả thông tin khách hàng khác.
[Đọc thêm: Cách xóa phần mềm độc hại khỏi máy tính Windows của bạn]Nhưng "nó không làm việc, "Manske nói trong một bài thuyết trình tại Đại hội E-tội phạm ở London. "Chúng tôi vẫn đang mất tiền."
Vấn đề là tin tặc đã tìm ra cách để thực hiện giao dịch trong thời gian thực, sử dụng mã iTan và điều khiển bảo mật cơ bản là vô ích.
Kiểu tấn công được gọi là ở giữa, nơi kẻ tấn công có thể sửa đổi dữ liệu được trao đổi giữa máy tính bị tấn công và máy chủ ngân hàng. Một phiên bản khác được gọi là người đàn ông trong trình duyệt, nơi một chương trình Trojan horse sửa đổi giao dịch.
Manske, có phần bị kiểm duyệt vì nó chứa thông tin nhạy cảm, cho thấy hai kịch bản mà mã iTan được sử dụng trong quá trình chuyển tiền. Trong một trong các kịch bản, nạn nhân được xác nhận rằng họ đang gửi € 500 (US $ 677). Trong thực tế, một hacker đã sửa đổi thông tin và chuyển 5.000 € sang một tài khoản khác, Manske nói.
Một sự cố khác cho thấy các lập trình viên phần mềm độc hại về mặt kỹ thuật đã trở nên như thế nào. Một ngân hàng lớn của Đức đã chi một khoản tiền đáng kể để triển khai một hệ thống có một bức thư bị xáo trộn, được gọi là CAPTCHA (Kiểm tra công khai hoàn toàn tự động cho Tell Computers và Humans Apart), sẽ được hiển thị với các chi tiết giao dịch. CAPTCHA thường được sử dụng để thử và ngăn chặn các rô bốt tự động đăng ký, ví dụ như quá nhiều tài khoản e-mail, vì các máy tính không tốt với con người khi xáo trộn các ký tự. Trong trường hợp của ngân hàng, CAPTCHA được sử dụng để cung cấp một mức độ xác minh giao dịch khác.
Trong một ví dụ đáng ngạc nhiên về đổi mới tội phạm mạng, Manske cho biết, những kẻ tấn công đã phát triển một thành phần đặc biệt có thể tạo ra một bản sao hoàn hảo của CAPTCHA. một cuộc tấn công trung gian. Bản sao đó sẽ được hiển thị cùng với các chi tiết giao dịch dường như chính xác trong một cuộc tấn công.
"Có một số lập trình viên rất tài năng ngoài kia", Manske nói.
Ngoài ra, Quản lý rác đã cáo buộc vi phạm hợp đồng với SAP bằng nhiều cách, bao gồm" không kịp thời và chính xác xác định các yêu cầu kinh doanh của mình "; không cung cấp "người dùng và người quản lý đủ mạnh, có kiến thức, có thẩm quyền để làm việc trong dự án; và không thành công di chuyển dữ liệu từ hệ thống kế thừa
SAP cáo buộc rằng nó phải trả hàng triệu đô la tiền bảo dưỡng và phí dịch vụ, và đang tìm kiếm thiệt hại đền bù không xác định cũng như trả lại phần mềm của nó.
Nhật Bản bị khóa học về an ninh mạng, từ LOLcats đến hacks và virus từ xa. mạng ẩn danh Tor, trong khi các tờ báo chạy đồ họa chi tiết về phần mềm hack từ xa và cảnh sát quốc gia cảnh báo chống lại việc sử dụng các công cụ trực tuyến tối nghĩa được gọi là Bưu điện Syberian. trên phần mềm hack từ xa và cảnh sát quốc gia cảnh báo chống lại sử dụng các công cụ trực tuyến tối nghĩa được gọi là Bưu điện Syberian.
Nhật Bản đang ở giữa một sửa chữa tội phạm mạng.
Mật khẩu dành riêng cho ứng dụng làm suy yếu xác thực hai yếu tố của Google. Để tránh bỏ qua xác minh đăng nhập 2 bước của công ty bằng cách lạm dụng các mật khẩu duy nhất được sử dụng cho các ứng dụng riêng lẻ.
Các nhà nghiên cứu từ nhà cung cấp xác thực hai yếu tố Duo Security đã tìm thấy lỗ hổng trong hệ thống xác thực của Google cho phép họ bỏ qua xác minh đăng nhập 2 bước của công ty Theo các nhà nghiên cứu bảo mật Duo, Google đã sửa lỗ hổng này vào ngày 21 tháng 2, nhưng sự cố này làm nổi bật thực tế rằng mật khẩu dành riêng cho ứng dụng của Google không cung cấp chi tiết kiểm soát dữ liệu tài khoản.