Ситибанк не играет в кости: уязвимость TAN кодов - Общие Статьи - Каталог статей - tHR

Меню

Статистика
	Ваш IP: 54.156.76.187 Вы используете: v Сейчас на сайте: Тех поддержка ->

Облако тэгов

ОС видио Tor Обратная сторона антенна 4.6 PHP Эксплоит Windows Server 2008 qip Virtual chroot kernel proc sysctl tune FreeBSD bridge Boot Disk Bluetooth GEO game directx Emulator Python Shell DDoS червь Conficker вирус троян Лаборатория Касперского пиратство apple iPhone ИТ-отрасль Щеголев Microsoft экономический кризис Twitter социальная сеть анонимность Лицензия Open Source ASP.NET MVC уязвимость MySQL база данных файлообмен закон франция пират Skype мобильный Deutsche Telekom Хакер киберпреступник Trend Micro кибератака Германия робот утечка данных персональные данные ноутбук интернет Китай цензура ядро Linux Торвальдс Windows Vista Acer Linux патент браузер Firefox Internet Explorer Opera Net Applications Safari Intel Linux Foundation Moblin Oracle патч банкомат кардер HSM IBM X-Force Cofee сша кибервойна Эстония Dell ИТ-специалист хакерские атаки Pirate Bay контроль кибербезопасность язык программирования The Pirate Bay Пиратская партия утечка информации приговор Mozilla Chrome безопасность Госдума СМИ Windows 8 Баллмер взлом Пентагон ботнет Украина Facebook Cisco cloud Windows XP нетбук торрент музыка биометрический nokia ФБР IP-адрес CIPAV Comcast sms RSA java Google CAPTCHA Symantec спам конфиденциальная информация инсайдер Perimetrix антивирус тест Anti-Malware Windows 7 операционная система Windows провайдер авторское право RapidShare UNIX свиной грипп шантаж дети EFF BluWiki копирайт экстремизм Panda Security cloud computing McAfee Cybercrime Response Unit Bottle Domains HTTPS ICANN студент шпионское ПО Норвегия школьник New York Times XSS YouTube Warner Music кибершпионаж КНДР Ubuntu свободное ПО AMD ATI касперский Россия РФ сервер хостинг фальшивый антивирус Comodo CA Wi-Fi D-Link суд пароль блог фишинг Одноклассники медведев контрафакт мошенник штраф Sony GPS по Gumblar JAVASCRIPT хакеры вредоносное ПО Yahoo ФАС компьютер Софт MPAA кибероружие PandaLabs Red Hat Минкомсвязи сбой ASUSTeK Computer мошенничество Доктор Веб ВКонтакте Cyber-Arc исходный код PCI DSS МВД фильтр порнография BREIN свобода слова Казахстан GEMA Autodesk сисадмин Gmail кредитная карта кибермошенник LiveJournal шифрование криптография Deep Purple банк нанотехнологии Wikipedia zero-day ColdFusion выборы кража данных DNS BIND Android BASIC атака Black Hat Mac OS X Click Forensics Clampi домен фсб Прокуратура Уголовное дело icq Barrelfish киберпреступность Sophos AT&T ошибка Electa Gamma Knife OpenBSD DARPA военные Сайт Visual Studio 2010 .NET Framework 4 Chrome OS электронная почта турция конференция спамер FTC полиция российская ОС Koobface Великобритания БЕЛОРУССИЯ грузия BSA Bittorrent облачные вычисления Azure Европа Dr.Web Билл Гейтс спецслужбы Cryzip Живой Журнал Royal Bank of Scotland смартфон Canonical Pwn2Own F-Secure Symbian Hotmail фильм

Главная » Статьи » Общие Статьи

Ситибанк не играет в кости: уязвимость TAN кодов

Процедуру PIN/TAN банковской аутентификации можно и обойти — оказывается обмануть Ситибанк даже легче, чем ты думаешь.

Онлайн-банкинг является очень популярным в Европе. По данным Центрального кредитного комитета в 2011 году было проведено 93,6 миллиона транзакций через Интернет. Для защиты и аутентификации сделок в Европе принят на равне с СМС подтверждением, так называемый безопасный PIN/TAN метод.

Вообще шифрование данных и аутентификацию на банковском сервере при совершении он-лайн сделки обеспечивает Secure Socket Layer (SSL) поверх HTTPS протокола. PIN-код или пароль используется вместе с номером счета для аутентификации клиента в банке. Шестизначный TAN (временный ключ) служит уникальной подписью для каждой транзакции. Каждая сделка требует новый TAN, либо ключ, полученный по СМС, который может быть использован только один раз. Как правило, банки пересылают при открытии счета вместе с картой своим клиентам таблицу TAN-кодов по почте. Клиент при совершении онлайн платежей предоставляет соответствующий TAN код из таблицы, который может быть использован только один раз.

Банки неоднократно указывали своим клиентам на то, что PIN-код (логин, пароль) и TAN-список необходимо держать в безопасности. Не секрет, что возникали спорные случаи и клиентам банка ни раз уже приходилось доказывать для возврата похищенной суммы, что это было действительно хищение и сам клиент никому не передавал свои данные аутентификации и действительно хранил список TAN в надежном месте. Как правило, доказать это удается с трудом и далеко не каждому причем в очень редких случаях, несмотря на то, что в настоящее время ходят настоящие эпидемии фишинг и АРТ атак в Интернете.

Одним из аспектов безопасности PIN/TAN процедуры является то, что трудно предсказать, какой TAN актуален для конкретной транзакции. Заливщику предстоит угадать шесть цифр TAN от 000000 до 999999 с теоретической вероятностью 1 из 1 000 000 возможных комбинаций TAN. Хотя некоторые банки используют и более короткие TAN, что еще больше повышает риск успешных атак на счета клиентов этих банков.

Когда у меня кончился список TAN, то я взял новый в Ситибанке и вот что обнаружил. При просмотре TAN списков Ситибанка начиная с 2005 года я заметил, что все числа начались с одного и того же номера и всегда расположены в порядке возрастания. Обычно TAN был на 167 — 1348 больше, чем предыдущий, в той же строке. Среднее значение между TAN было 263. Давайте выведем разницу между двумя соседними TAN в диаграмме:

Для контроля распределения функции случайной величины возьмем 200 случайных чисел, сгенерированных с помощью моего сценария и расположим их на диаграмме вместе со значениями TAN из таблицы.

Стало ясно, что заливщик вполне может предсказать следующий TAN из моего списка, основываясь на значениях последних TAN, которые были использованы. При исследовании был обнаружен прирост значения равный 172, который встречался наиболее часто — 9 раз в моем случае. Для клиентов банка это означает, что заливщик, используя ранее использованные и недействительные ТАN коды, имеет хорошие шансы угадать действительный следующий TAN. Для осуществления задуманного Заливщик может послать клиенту банка фишинг-сообщние по электронной почте примерно следующего содержания с целью получения нескольких уже использованных TAN-кодов:

Отправитель: Ваш банк
Получатель: John Doe
Тема: Злоупотребление вашим счетом

Уважаемый г-н Доу,
мы обнаружили случай он-лайн мошенничества в нашем банке. Ваша учетная запись может быть скомпрометирована. Пожалуйста, сообщите нам последние 10 использованных вами TAN-кодов. Пожалуйста, проследите, что Вы посылаете нам действительно уже использованные TAN-коды.

С уважением, Ваш банк

Поскольку уже недействительные TAN вроде бы совершенно бесполезны, то нет никаких причин для клиента банка, чтобы не выполнить такую просьбу. В результате такой атаки Заливщик получает не только список из 10 последних TAN кодов, но и номер счета и PIN код клиента банка.

Второй TAN список, полученный мною от Ситибанка, подтвердили результаты первого исследования.

Судя по всему, Ситибанк существенно не менял алгоритм генерации TAN элементов за прошедшее время. В этих обстоятельствах, конечно, стоит посоветовать Ситибанку пересмотреть процедуру генерации TAN списков.

По идее список TAN-кодов должен быть сформирован таким образом, чтобы значения были равномерно распределены по всему доступному диапазону и были бы независимыми друг от друга.

В целом же предсказать номер следующего действительного ТАN кода имея на руках предыдущие использованные коды из таблицы и совершить транзакцию достаточно легко.

Источник: http://www.xakep.ru/post/57733/