web-dev-qa-db-ja.com

銀行の二要素認証がハッキングされる可能性はありますか?

銀行にログインしようとすると、SMSコードが電話に送信されます。次に、この9文字のコードを銀行のWebサイトに入力して、アカウントにログインします。

これは、銀行のソフトウェアやサーバーをハッキングせずに、または電話/ SMS通信にアクセスせずに攻撃に対して脆弱ですか?

それはどのように悪用される可能性がありますか?これまでのところ、私が想像できる唯一の方法は、誰かが私の電話にアプリをインストールして、SMSトラフィックを傍受し、コードを攻撃者に再送信することです。これが起こらないようにするには私?

phonesmsbankssmartphoneprotection
20
user13779

攻撃者がコードを傍受する方法の1つは、携帯電話をハッキングすることです。攻撃者は次のこともできます。

  • 携帯電話のsimのクローンを作成し、銀行コードを携帯電話の番号に送信するように要求します。彼らはおそらく非SIM電話もクローンすることができます
  • スマートフォンを盗みます。彼らはあなたの電話を手に入れたら、彼らは取引を行うことができます
  • 銀行サイトを使用する際に、中間者攻撃を実行します。これは既に行われています。攻撃者はコンピューターにインストールされたマルウェア(ブラウザー攻撃の男)を使用して、銀行のページを模倣するように設定されたサイトに銀行のトラフィックを誘導します。または、攻撃者がプロキシとして機能するようにシステムを破壊する可能性があります。どちらの方法でも、コードを入力すると攻撃者はそれを取得し、コードを使用してトランザクションを実行します
  • 銀行をソーシャルエンジニアリングして、携帯電話の詳細を彼らが管理する電話に変更します。攻撃者があなたについて十分に知っていて、銀行の手続きが十分に厳しくない場合、攻撃者はあなたを装って銀行に電話をかけ、携帯電話番号を変更させることができます

それで、あなたは何ができますか?

  • お使いの携帯電話を制御してください。
  • コンピューターがパッチとマルウェア対策ソフトウェアで最新の状態に保たれていることを確認します
  • すべてのバンキングを仮想マシンで実行し、その状態を保存しないでください。仮想マシンがハッキングされて状態を保存すると、マルウェアは仮想マシンに残りますが、その状態を保存しないと、マルウェアは仮想マシンに残ることができません。
  • 多くの銀行では、ある種の認証コードを使用して、電話をかけた人の身元を確認しています。これらを書き留めますが、コンピューターや電話には置かないでください。コンピューターやオンラインIDへの完全なアクセス権があっても、攻撃者が知らないことがまだあります。

それはすべての破滅と悲観ではありません。詐欺的な取引が行われたと疑い、銀行に迅速に捕まった場合、ほとんどの場合、銀行は取引を取り消すことができます。これがうまくいくかどうかは、現地の法律が何であるか、そしてあなたの銀行がどれだけ優れているかに依存します。

21
GdD

認証の2番目の要素/ステップに関する全体的なアイデアは、2つの独立したセキュリティ層を提供することです。 1つの層の脆弱性が他の層のセキュリティに影響を与えることはありません。

二要素認証は過去に適切に設計および使用されていましたが、最近ではセキュリティよりも利益を重視する企業によって弱体化されています。 SMSメッセージでは、慎重に設計されたRSAトークンとスマートカードのセキュリティレベルを再現できません。

SMS第2の要素としての攻撃はもはや理論的ではなく、数百万ドルの犯罪です。電話を危うくすることは最も真っ向からのアプローチであり、少なくともこれに使用されました 4700万ドル強盗

SIMカードのクローン作成 ソーシャルエンジニアリングを導入すると、はるかに簡単になります。クローニングは依然として困難であり、 SMSインターセプト のようにスケーリングすることはできません。独自のクラッキングシステムを構築する必要はありません。 big または small パックで購入できます。

そして、2番目の要素が安全で信頼できると思うときは、 ブラウザでの攻撃の種類 を検討してください。

古い方法は SIMカードパーティショニング と呼ばれ、電力消費や電磁放射などのサイドチャネルを監視することにより、SIMカードから主要なデータを引き出すサイドチャネル攻撃方法です。この手法では、物理的に近接している必要があり、秘密の暗号鍵を数分で抽出できます。以前は、攻撃者が攻撃を成功させるには、少なくとも8時間はSIMカードにアクセスする必要がありました。

以前は、攻撃者は電話会社の内部関係者からの情報を使用してSIMを複製し、銀行詐欺を犯していました。現在、南アフリカでは SIMスワップ詐欺 の波があり、攻撃者が電話会社をだまして新しいSIMカードを渡しています。

最初に脅威と適切なセキュリティ対策について学習することで、これらから保護してください。やるべきことのチェックリストは、一般的な落とし穴から保護することができますが、セキュリティの考え方を持っていれば、さらに役立ちます。

11
Cristian Dobre

コンピュータに入力された2つの要素を使用するときに行われます(ATMで直接。ATMの2要素SMS問題)については、一番下のリンクを参照してください)。

KrebsOnSecurity.comブログには、次の銀行を含む多くの銀行eheistsがリストされています。

https://krebsonsecurity.com/category/smallbizvictims/page/4/

"サイバー盗難の前の年、コメリカはデジタル証明書の使用から、商業顧客にセキュリティトークンからのワンタイムパスコードの入力を要求するように切り替えていました。電子メールでリンクされているサイトは、数時間以内に、攻撃者はEMIの口座から中国、エストニア、フィンランド、ロシア、スコットランドの銀行口座に97回の電信送金を行いました。」

Krebsはこれについていき、銀行のeheistsのための特別なカテゴリを持っています:

https://krebsonsecurity.com/category/smallbizvictims/

残忍!

私が彼のブログから収集した最も重要なポイント:

  • 銀行は、businessアカウントに対するサイバー詐欺に対しては償還しません! (消費者アカウントとは異なります)。

  • 経理部門のPCがハッカーに乗っ取られた場合、2要素または任意の数のコンピューターのみの検証は危険です。 (あるクレブスの話は、従業員とマネージャーがブラウザーでX経由の転送を個別に確認することを要求した会社の別の強盗を説明していますが、ハッカーは両方のPCを「所有」し、両方の資格情報のセットを盗みました。)

  • いくつかの「帯域外」の検証が最適です。たとえば、転送のために1人または2人の従業員/マネージャに電話をかけると、ほぼすべてまたはすべてが妨害されます。 eheistsクレブの報告。

  • Windows PCは、商業オンラインバンキングの巨大なリスクです。

  • Windows PC上の商用オンラインバンキングの場合は、無料のLiveCD Ubuntu Linus DVDから一時的に起動します。これにより、Firefoxが読み込まれ、ウイルスが感染できないためクリーンなオンラインバンキングが可能になります。 DVDに書き込むと、Windows PC上のウイルスは、PCがWindowsで再起動するまで休止状態になります。

(私のビジネスクライアントのいくつかは、商用オンラインバンキングを使用する必要がある場合、Windows PCのLiveCDから起動します。)

完全な恐怖については、数年分のクレブスの中小企業バンキング強盗の物語を読んでください。彼らは私のIT中小企業クライアントを通じて震えを送りました。

=========

ATMマシンで2要素を破る泥棒に関しては、ヨーロッパで行われています。ウイルスに感染したPCと電話、および被害者は、銀行がマウントするまで詐欺であると銀行が信じていなかったアカウントの引き出しに苦しみました。

http://dkmatai.tumblr.com/post/37277877990/sophisticated-smartphone-hacking-36-million-euros

5
JDub