`

СПЕЦИАЛЬНЫЕ
ПАРТНЕРЫ
ПРОЕКТА

Архив номеров

Как изменилось финансирование ИТ-направления в вашей организации?

Best CIO

Определение наиболее профессиональных ИТ-управленцев, лидеров и экспертов в своих отраслях

Человек года

Кто внес наибольший вклад в развитие украинского ИТ-рынка.

Продукт года

Награды «Продукт года» еженедельника «Компьютерное обозрение» за наиболее выдающиеся ИТ-товары

 

Алексей Дрозд

О сколько аутентификаций чудных…

+99
голосов

Не так давно порталы по информационной безопасности облетела новость: СБУ задержала команду кардеров, которые занимались изготовлением и продажей устройств для скимминга. Считывая данные с магнитной ленты карты и фиксируя вводимый пин-код, скиммеры позволяли злоумышленникам проводить практически любые махинации с пластиковыми картами.

О сколько нам аутентификаций чудных…

«Ну и что особенного в этой новости?», — скажут многие и будут правы. В последнее время новостей об этом виде преступлений в Украине и России становится все больше. Кардинг постепенно набирает обороты, и очевидно, что типичная аутентификация с помощью пин-кода сегодня никого не остановит. Есть ли альтернатива? Само собой. О наиболее интересных и надежных способах не стать жертвой кардеров мы сегодня и поговорим.

Биометрическая аутентификация

Новинка из Японии. Система, разработанная Ogaki Kyoritsu Bank, позволяет пользоваться карточным счетом лишь после сканирования отпечатков пальцев. Получить доступ к счету можно приложив ладонь к сенсорной панели, наличие при себе кредитки совсем не обязательно. Система начнет работать в сентябре.

Кроме того, по-прежнему остаются популярны классические системы биометрической аутентификации: проверил отпечаток – получил возможность пользоваться карточкой.

Плюсы такого подхода очевидны: чтобы получить доступ к счету, нужно быть конкретным человеком, и никак иначе. Однако отсюда же следует и недостаток

Сложности также могут возникнуть при оборудовании терминалов для биометрической аутентификации. Опыт производства и внедрения подобных устройств для широкой аудитории практически отсутствует, и затраты переоборудование банкоматов тоже необходимо учитывать. А люди у нас не привыкли даже к пользованию электронной валюты, и уж тем более непривычной будет работа с отпечатками пальцев.

Кроме того, еще в 2008 г. было получено устройство Biologger, который позволяет скопировать необходимые для доступа отпечатки пальцев. Повсеместное распространение биометрической аутентификации приведет всего лишь к перепрофилированию кардеров, так что использование этого метода защиты – временное решение.

К тому же, никто не отменял классических сценарий ужастиков и боевиков, когда при необходимости биометрического доступа преступники просто отрезали необходимые части тела.

Двухэтапная аутентификация

Весьма популярный способ подтверждения прав доступа. Сейчас используется практически везде: от электронной почты до онлайновых платежных систем типа Webmoney или Яндекс.Денег. Думаю, все сталкивались с такой реализацией – на телефон приходит SMS код, после ввода которого можно получить доступ к необходимому сервису.

Способ прост в реализации и не требует установки каких-либо дополнительных устройств – достаточно лишь немного дописать программную начинку банкомата, а мобильные телефоны сейчас есть у каждого.

Однако с распространением смартфонов начали появляться и программы-перехватчики SMS, которые в сочетании с классической схемой скимминга дают злоумышленникам полные права доступа. Правда, на один раз – по прилетевшей SMS жертва мошенников будет знать о несанкционированном доступе к счету.

Но как ни странно, эта проблема имеет очень простое решение – использование устаревших моделей телефонов без полнофункциональных ОС. Троянца на такой аппарат не закинуть, а для перехвата SMS придется использовать мощные устройства, которые применяются в спецслужбах. И чаще всего затраты на такой перехват сообщений не окупят возможную прибыль мошенников.

NFC-чипы и эмуляция карт

Технология беспроводной передачи данных NFC известна еще с 2003 г., однако активно применяться начала совсем недавно. Особенно такая возможность передавать небольшое количество информации на очень малое расстояние пришлась по нраву банкам - мобильные устройства, которые поддерживают использование NFC-чипов, стали использовать для эмуляции пластиковых карт.

Выглядит система очень привлекательно: пользоваться карточкой не обязательно, достаточно просто поднести к считывающему устройству смартфон и таким нехитрым способом воспользоваться банкоматом, оплатить покупку и т.д. Технология сочетает в себе и стандартную аутентификацию через пароль, и двухэтапную – через наличие доступа к телефону.

Но тогда возникает резонный вопрос: какой смысл в использовании NFC-чипа, если фактически он работает по принципу обычной авторизации через SMS, только код вводить не надо? Удобно, не спорю, но с точки зрения безопасности разницы нет – при наличии доступа к телефону злоумышленник может точно также воспользоваться картой.

Этот минус мог бы быть компенсирован отсутствием обнаруженных уязвимостей, но это не так. Телефон на Android с NFC-чипом уже взломан. В первом случае с помощью фальшивого считывающего устройства были перехвачены данные, которые передавались от эмулятора карты к банкомату, а во втором – получен доступ к самому телефону.

А это снова возвращает нас к классической схеме кардинга – внедрить в банкомат скиммер, который украдет все данные, необходимые для доступа к карте. Меняется лишь технология, но принцип остается тот же. И повсеместное использование новой методики взлома – лишь дело времени.

А как ни странно, но при наличии такого обилия новых технологий наиболее простой, надежной и доступной для каждого остается двухэтапная аутентификация с помощью SMS.

О сколько нам аутентификаций чудных…

+99
голосов

Напечатать Отправить другу

Читайте также

 
 
IDC
Реклама

  •  Home  •  Рынок  •  ИТ-директор  •  CloudComputing  •  Hard  •  Soft  •  Сети  •  Безопасность  •  Наука  •  IoT