Dragnet: Helen Corday / Red Light Bandit / City Hall Bombing
مصادقة ثنائية قال مسؤول ألماني كبير في مجال فرض القانون يوم الثلاثاء إن النظام الذي يستخدم على نطاق واسع في ألمانيا يفشل في منع المجرمين الإلكترونيين من تجفيف الحسابات المصرفية.
اعتبارا من العام الماضي ، كان حوالي 95 بالمئة من رعاة الخدمات المصرفية عبر الإنترنت يستخدمون رموز "iTan" وأرقام سرية عشوائية يطلب من ميركو مانكي ، رئيس مفتش الشرطة في مكتب الشرطة الجنائية الاتحادي في ألمانيا ، استخدام رمز iTan كإجراء إضافي للمصادقة بالإضافة إلى معلومات تسجيل الدخول الخاصة بالعميل. لا يمكن استخدام رمز iTan إلا مرة واحدة ويهدف إلى إحباط الهجمات المصرفية عبر الإنترنت حيث يكون لدى المهاجم كل معلومات العميل الأخرى.
[المزيد من القراءة: كيفية إزالة البرامج الضارة من جهاز كمبيوتر يعمل بنظام Windows]
ولكن "لا عمل "، وقال Manske خلال عرض تقديمي في مؤتمر الجريمة الإلكترونية في لندن. "ما زلنا نخسر المال."المشكلة هي أن المتسللين قد اكتشفوا طرقًا لتنفيذ الصفقات في الوقت الفعلي ، باستخدام شفرة iTan وجعل التحكم في الأمان عديم الفائدة بشكل أساسي.
أسلوب الهجوم يدعى رجل في الوسط ، حيث يتمكن المهاجم من تعديل البيانات المتبادلة بين الكمبيوتر الشخصي المخترق والخادم البنكي. هناك نسخة أخرى تسمى رجل في المتصفح ، حيث يقوم برنامج حصان طروادة بتعديل المعاملة.
Manske ، الذي تم عرضه جزئيًا للرقابة لأنه يحتوي على معلومات حساسة ، أظهر سيناريوهين يستخدمان رموز iTan أثناء نقل الأموال.
في أحد السيناريوهات ، تحصل الضحية على تأكيد بأنها ترسل 500 يورو (677 دولارًا أمريكيًا). في الواقع ، قام الهاكر بتعديل المعلومات ونقل مبلغ 5،000 يورو إلى حساب آخر.
وقد أنفق أحد البنوك الألمانية الكبرى مبلغًا كبيرًا من المال في تنفيذ نظام يتم فيه عرض صورة لرسائل مختلطة ، تسمى اختبار CAPTCHA (اختبار Turing عام مؤتمت بالكامل لأجهزة كمبيوتر Tell و Humans Apart) ، مع تفاصيل الصفقة ، حسبما قال مانسكه.غالبًا ما يتم استخدام اختبار CAPTCHA لمحاولة إيقاف برامج التتبع الآلية من التسجيل ، على سبيل المثال ، عدد كبير جدًا من حسابات البريد الإلكتروني ، نظرًا لأن أجهزة الكمبيوتر ليست جيدة عند البشر عند إزالة أحرف مختلطة. في حالة البنك ، تم استخدام اختبار CAPTCHA لتوفير مستوى آخر من التحقق من المعاملة.
في مثال آخر مثير للإعجاب على الابتكار في الجرائم السيبرانية ، قال مانسكي إن المهاجمين طوروا مكونًا خاصًا يمكن أن يجعل نسخة مثالية من اختبار CAPTCHA لاستخدامها هجوم رجل في الوسط. وسيتم عرض تلك النسخة مع تفاصيل المعاملات التي تبدو صحيحة خلال هجوم.
"هناك بعض المبرمجين الموهوبين للغاية هناك" ، قال مانسك.
Facebook يزيل أرقام جوال المصادقة الثنائية من البحث
مستخدمي Facebook الذين ارتبطوا برقم هاتف جوال بحساباتهم لتمكين لم يعد بالإمكان العثور على ميزة أمان "موافقات الدخول" على الموقع الإلكتروني استنادًا إلى أرقام الهاتف هذه ، حسبما قالت الشركة الاثنين.
كلمات المرور الخاصة بالتطبيق تضعف مصادقة Google الثنائية ، يقول الباحثون
الباحثون اكتشفوا ثغرة في نظام مصادقة Google سمحت لهم لتجاوز التحقق من تسجيل الدخول بخطوتين للشركة عن طريق إساءة استخدام كلمات المرور الفريدة المستخدمة في التطبيقات الفردية.
تضيف Microsoft المصادقة الثنائية للحفاظ على الحسابات آمنة
إذا كنت مستخدمًا نشطًا لـ Outlook و SkyDrive و Office Web Apps أو خدمات Microsoft الأخرى ، قد ترغب في إضافة التحقق من خطوتين للحصول على طبقة أمان إضافية.