Номер аутентификации транзакции

Номер аутентификации транзакции ( TAN ) используется некоторыми службами онлайн-банкинга как форма одноразовых паролей (OTP) для авторизации финансовых транзакций . TAN — это второй уровень безопасности, выходящий за рамки традиционной аутентификации с одним паролем .

TAN обеспечивают дополнительную безопасность, поскольку они действуют как форма двухфакторной аутентификации (2FA). Если физический документ или токен, содержащий TAN, будет украден, без пароля он будет бесполезен. И наоборот, если данные для входа получены, никакие транзакции не могут быть выполнены без действительного TAN.

Классический ТАН

TAN часто функционируют следующим образом:

Банк создает для пользователя набор уникальных TAN. ^[1] Обычно в списке напечатано 50 TAN, чего обычного пользователя хватит на полгода; каждый TAN имеет длину шесть или восемь символов.
Пользователь забирает список в ближайшем отделении банка (предъявляя паспорт , удостоверение личности или аналогичный документ) или получает список TAN по почте.
Пароль (PIN) высылается отдельно.
Чтобы войти в свою учетную запись, пользователь должен ввести имя пользователя (часто номер учетной записи) и пароль ( ПИН-код ). Это может предоставить доступ к информации об учетной записи, но возможность обработки транзакций будет отключена.
Чтобы выполнить транзакцию, пользователь вводит запрос и авторизует транзакцию, вводя неиспользуемый TAN. Банк сверяет предоставленный TAN со списком TAN, выданных пользователю. Если совпадение, транзакция обрабатывается. Если совпадения нет, транзакция отклоняется.
TAN уже использован и не будет распознаваться для дальнейших транзакций.
Если список TAN скомпрометирован, пользователь может отменить его, уведомив банк.

Однако, поскольку любой TAN может использоваться для любой транзакции, TAN по-прежнему подвержены фишинговым атакам , когда жертву обманом заставляют предоставить как пароль/ПИН-код, так и один или несколько TAN. Кроме того, они не обеспечивают защиты от атак «человек посередине» , когда злоумышленник перехватывает передачу TAN и использует его для поддельной транзакции, например, когда клиентская система подвергается риску с помощью какой-либо формы вредоносного ПО , которое позволяет злонамеренный пользователь . Хотя остальные TAN не подвергаются риску и могут использоваться безопасно, пользователям обычно рекомендуется как можно скорее предпринять дальнейшие действия.

Индексированный TAN (iTAN)

Индексированные TAN снижают риск фишинга. Для авторизации транзакции пользователю не предлагается использовать произвольный TAN из списка, а ввести конкретный TAN, идентифицируемый порядковым номером (индексом). Поскольку индекс выбирается банком случайным образом, произвольный TAN, полученный злоумышленником, обычно бесполезен.

Тем не менее, iTAN по-прежнему подвержены атакам «человек посередине» , включая фишинговые атаки, когда злоумышленник обманом заставляет пользователя войти на поддельную копию веб-сайта банка, а также атаки «человек в браузере». ^[2] которые позволяют злоумышленнику тайно обмениваться деталями транзакций в фоновом режиме ПК, а также скрывать фактические транзакции, выполненные злоумышленником, в обзоре онлайн-счета. ^[3]

Поэтому в 2012 году Агентство Европейского Союза по сетевой и информационной безопасности рекомендовало всем банкам считать, что компьютерные системы своих пользователей заражены вредоносным ПО по умолчанию, и использовать процессы безопасности, при которых пользователь может перекрестно проверять данные транзакций на предмет манипуляций, как, например ( при условии, что безопасность мобильного телефона выдерживает) mTAN или считыватели смарт-карт со своим собственным экраном, включая данные транзакции в процесс генерации TAN, одновременно отображая их заранее пользователю ( chipTAN ). ^[4]

Индексированный TAN с CAPTCHA (iTANplus)

Перед входом в iTAN пользователю предоставляется CAPTCHA , которая в фоновом режиме также показывает данные транзакции и данные, считающиеся неизвестными потенциальному злоумышленнику, например дату рождения пользователя. Это сделано для того, чтобы злоумышленнику было сложно (но не невозможно) подделать CAPTCHA.

Этот вариант iTAN — метод, используемый некоторыми немецкими банками, добавляет CAPTCHA для снижения риска атак «человек посередине». ^[5] Некоторые китайские банки также внедрили метод TAN, аналогичный iTANplus. Недавнее исследование показывает, что эти схемы TAN на основе CAPTCHA не защищены от более сложных автоматических атак. ^[6]

Мобильный TAN (mTAN)

mTAN используются банками в Австрии, Болгарии, Чехии, Германии, Венгрии, Малайзии, Нидерландах, Польше, России, Сингапуре, Южной Африке, Испании, Швейцарии и некоторых странах Новой Зеландии, Австралии, Великобритании и Украины. Когда пользователь инициирует транзакцию, банк генерирует TAN и отправляет его на мобильный телефон посредством SMS . SMS может также включать в себя данные транзакции, позволяющие пользователю проверить, что транзакция не была изменена при передаче в банк.

Однако безопасность этой схемы зависит от безопасности системы мобильного телефона. В Южной Африке, где TAN-коды, доставляемые по SMS, являются обычным явлением, появилась новая атака: мошенничество с заменой SIM-карты. Распространенный вектор атаки заключается в том, что злоумышленник выдает себя за жертву и получает замену SIM-карты для телефона жертвы у оператора мобильной сети . Имя пользователя и пароль жертвы получаются другими способами (например, кейлогингом или фишингом ). В период между получением клонированной/замененной SIM-карты и тем, что жертва замечает, что ее телефон больше не работает, злоумышленник может перевести/извлечь средства жертвы с ее счетов. ^[7] В 2016 году исследование мошенничества с заменой SIM-карт провел социальный инженер , выявившее недостатки в выдаче номеров переноса.

В 2014 году была опубликована уязвимость в системе сигнализации №7 , используемой для передачи SMS, позволяющая перехватывать сообщения. Его продемонстрировал Тобиас Энгель во время 31-го Конгресса по коммуникациям Хаоса . ^[8] В начале 2017 года эта уязвимость успешно использовалась в Германии для перехвата SMS и мошеннического перенаправления денежных переводов. ^[9]

Кроме того, рост популярности смартфонов привел к атакам вредоносных программ, пытающихся одновременно заразить ПК и мобильный телефон, а также взломать схему mTAN. ^[10]

pushTAN

pushTAN — это схема TAN на основе приложений немецкой банковской группы Sparkassen, устраняющая некоторые недостатки схемы mTAN . Он исключает стоимость SMS-сообщений и не подвержен мошенничеству с SIM-картой, поскольку сообщения отправляются через специальное приложение для обмена текстовыми сообщениями на смартфон пользователя с использованием зашифрованного подключения к Интернету. Как и mTAN, эта схема позволяет пользователю сверять детали транзакции со скрытыми манипуляциями, проводимыми троянами на компьютере пользователя, включая фактические детали транзакции, полученные банком, в сообщение pushTAN. Хотя это аналогично использованию mTAN со смартфоном, существует риск параллельного заражения ПК и смартфона вредоносным ПО. Чтобы снизить этот риск, приложение pushTAN перестает работать, если мобильное устройство рутировано или взломано. ^[11] В конце 2014 года Deutsche Kreditbank (DKB) также принял схему pushTAN. ^[12]

ТАН-генераторы

Простые генераторы TAN

Риск компрометации всего списка TAN можно снизить, используя токены безопасности , которые генерируют TAN «на лету» на основе секрета, известного банку и хранящегося в токене или смарт-карте, вставленной в токен.

Однако сгенерированный TAN не привязан к деталям конкретной транзакции. Поскольку TAN действителен для любой транзакции, отправленной с его помощью, он не защищает от фишинговых атак, когда TAN напрямую используется злоумышленником, или от атак «человек посередине» .

ЧипТАН / См@рт-ТАН / КардТАН

ChipTAN — это схема TAN, используемая многими немецкими и австрийскими банками. ^[13]^[14]^[15] Он известен как ChipTAN или Sm@rt-TAN. ^[16] в Германии и как CardTAN в Австрии, тогда как cardTAN является технически независимым стандартом. ^[17]

Генератор ChipTAN не привязан к конкретной учетной записи; вместо этого пользователь должен вставить свою банковскую карту во время использования. Генерируемый TAN специфичен для банковской карты, а также для деталей текущей транзакции. Существует два варианта: в старом варианте детали транзакции (как минимум сумма и номер счета) необходимо вводить вручную. В современном варианте пользователь вводит транзакцию онлайн, затем генератор TAN считывает детали транзакции по мерцающему штрих-коду на экране компьютера (с помощью фотодетекторов ). Затем он показывает детали транзакции на своем экране пользователю для подтверждения перед созданием TAN.

Поскольку генератор TAN является независимым аппаратным обеспечением, связанным только простым каналом связи, он не подвержен атакам с компьютера пользователя. Даже если компьютер заражен трояном или произошла атака «человек посередине» , сгенерированный TAN действителен только для транзакции, подтвержденной пользователем на экране генератора TAN, поэтому изменение транзакции задним числом может сделать TAN недействительным.

Дополнительным преимуществом этой схемы является то, что, поскольку генератор TAN является универсальным и требует вставки карты, его можно использовать с несколькими счетами в разных банках, а потеря генератора не представляет собой угрозу безопасности, поскольку критически важные для безопасности данные сохраняются. на банковской карте.

Хотя схема ChipTAN обеспечивает защиту от технических манипуляций, она по-прежнему уязвима для социальной инженерии . Злоумышленники пытались убедить самих пользователей авторизовать перевод под предлогом, например, утверждая, что банк потребовал «пробный перевод» или что компания ложно перевела деньги на счет пользователя, и они должны «отправить их обратно». ^[2]^[18] Поэтому пользователи никогда не должны подтверждать банковские переводы, которые они инициировали не сами.

ChipTAN также используется для защиты пакетных передач ( Sammelüberweisungen ). Однако этот метод обеспечивает значительно меньшую безопасность, чем метод индивидуальных переводов. В случае пакетной передачи генератор TAN покажет только количество и общую сумму всех переводов вместе взятых – таким образом, при пакетной передаче мало защиты от манипуляций со стороны трояна. ^[19] Об этой уязвимости сообщила RedTeam Pentesting в ноябре 2009 года. ^[20] В ответ, в качестве меры по смягчению последствий, некоторые банки изменили свою обработку пакетных переводов, так что пакетные переводы, содержащие только одну запись, рассматриваются как отдельные переводы.

См. также

Ссылки

^ «Номер аутентификации транзакции (TAN)» . Мошенничество.нет . Проверено 14 декабря 2023 г.
^ Jump up to: ^а ^б Кандид Вюэст, группа реагирования глобальной безопасности Symantec. Текущие достижения в области банковских троянов? Архивировано 25 апреля 2014 г. на сайте Wayback Machine iriss.ie, Ирландской службе отчетности и информационной безопасности, 2 декабря 2012 г. (PDF; 1,9 МБ).
^ Катюша: LKA разбирает сеть интернет-мошенников WinFuture.de, 29 октября 2010 г.
^ Ограбления онлайн-банков «хайроллерами» выявляют бреши в безопасности Агентство Европейского Союза по сетевой и информационной безопасности, 5 июля 2012 г.
^ Heise онлайн (26 октября 2007 г.). «Улучшенная процедура iTAN должна защитить от манипуляций со стороны троянов» (на немецком языке).
^ Ли, Шуцзюнь; Сайед Амир Хайдер Шах; Мухаммад Асад Усман Хан; Сайед Али Хайям; Ахмад-Реза Садеги; Роланд Шмитц (2010). «Взлом CAPTCHA в электронном банкинге» . Материалы 26-й ежегодной конференции по приложениям компьютерной безопасности (ACSAC 2010) . Нью-Йорк, штат Нью-Йорк, США: ACM. стр. 171–180. дои : 10.1145/1920261.1920288 .
↑ Кошмар жертвы мошенничества с обменом SIM-карт iol.co.za, Independent Online, 12 января 2008 г.
^ «31C3: Протокол мобильной связи SS7 открыт, как дверь сарая» (на немецком языке). 28 декабря 2014 г.
^ Фабиан А. Шершель (3 мая 2017 г.). «Счета в немецких банках очищены от дыр в безопасности UMTS» (на немецком языке).
↑ SMS-троян Eurograbber похитил 36 миллионов евро у онлайн-банков techworld.com, 5 декабря 2012 г.
^ Интернет-банкинг с помощью pushTAN — Часто задаваемые вопросы berliner-sparkasse.de, Berliner Sparkasse (AöR), дата обращения 27 августа 2014 г.
↑ Информация о pushTAN dkb.de, Deutsche Kreditbank AG, дата обращения 12 марта 2015 г.
^ Официальная страница Postbank ChipTAN Postbank, дата обращения 10 апреля 2014 г.
^ чипTAN: Списки становятся излишними на официальной странице Sparkasse, дата обращения 10 апреля 2014 г.
↑ Официальная страница cardTAN Raiffeisen Bankengruppe Austria, дата обращения 10 апреля 2014 г.
^ «См@рт-ТАН» . www.vr-banking-app.de (на немецком языке) . Проверено 10 октября 2018 г.
^ Die neue cardTAN ebankingsicherheit.at, Gemalto N.V., Retrieved on October 22, 2014.
↑ Атака Татанги раскрывает слабые стороны чипТАНаtrusteer.com, 4 сентября 2012 г.
^ "Процедура чипTAN/Что отображается в TAN-генераторе?" (PDF) . Спаркасса Некарталь-Оденвальд. Июнь 2013 года . Проверено 1 декабря 2014 г. Коллективный перевод SEPA, содержание: более 1 шт. Дисплей 1: Всего, Дисплей 2: Количество позиций
^ «Атака посредника на систему онлайн-банкинга ChipTAN Comfort» . RedTeam Pentesting GmbH . Проверено 1 декабря 2014 г.

[1] «Номер аутентификации транзакции (TAN)» . Мошенничество.нет . Проверено 14 декабря 2023 г.

[symantec-2] Jump up to: ^а ^б Кандид Вюэст, группа реагирования глобальной безопасности Symantec. Текущие достижения в области банковских троянов? Архивировано 25 апреля 2014 г. на сайте Wayback Machine iriss.ie, Ирландской службе отчетности и информационной безопасности, 2 декабря 2012 г. (PDF; 1,9 МБ).

[3] Катюша: LKA разбирает сеть интернет-мошенников WinFuture.de, 29 октября 2010 г.

[4] Ограбления онлайн-банков «хайроллерами» выявляют бреши в безопасности Агентство Европейского Союза по сетевой и информационной безопасности, 5 июля 2012 г.

[5] Heise онлайн (26 октября 2007 г.). «Улучшенная процедура iTAN должна защитить от манипуляций со стороны троянов» (на немецком языке).

[6] Ли, Шуцзюнь; Сайед Амир Хайдер Шах; Мухаммад Асад Усман Хан; Сайед Али Хайям; Ахмад-Реза Садеги; Роланд Шмитц (2010). «Взлом CAPTCHA в электронном банкинге» . Материалы 26-й ежегодной конференции по приложениям компьютерной безопасности (ACSAC 2010) . Нью-Йорк, штат Нью-Йорк, США: ACM. стр. 171–180. дои : 10.1145/1920261.1920288 .

[7] Кошмар жертвы мошенничества с обменом SIM-карт iol.co.za, Independent Online, 12 января 2008 г.

[8] «31C3: Протокол мобильной связи SS7 открыт, как дверь сарая» (на немецком языке). 28 декабря 2014 г.

[9] Фабиан А. Шершель (3 мая 2017 г.). «Счета в немецких банках очищены от дыр в безопасности UMTS» (на немецком языке).

[10] SMS-троян Eurograbber похитил 36 миллионов евро у онлайн-банков techworld.com, 5 декабря 2012 г.

[11] Интернет-банкинг с помощью pushTAN — Часто задаваемые вопросы berliner-sparkasse.de, Berliner Sparkasse (AöR), дата обращения 27 августа 2014 г.

[12] Информация о pushTAN dkb.de, Deutsche Kreditbank AG, дата обращения 12 марта 2015 г.

[13] Официальная страница Postbank ChipTAN Postbank, дата обращения 10 апреля 2014 г.

[14] чипTAN: Списки становятся излишними на официальной странице Sparkasse, дата обращения 10 апреля 2014 г.

[15] Официальная страница cardTAN Raiffeisen Bankengruppe Austria, дата обращения 10 апреля 2014 г.

[16] «См@рт-ТАН» . www.vr-banking-app.de (на немецком языке) . Проверено 10 октября 2018 г.

[17] Die neue cardTAN ebankingsicherheit.at, Gemalto N.V., Retrieved on October 22, 2014.

[18] Атака Татанги раскрывает слабые стороны чипТАНаtrusteer.com, 4 сентября 2012 г.

[19] "Процедура чипTAN/Что отображается в TAN-генераторе?" (PDF) . Спаркасса Некарталь-Оденвальд. Июнь 2013 года . Проверено 1 декабря 2014 г. Коллективный перевод SEPA, содержание: более 1 шт. Дисплей 1: Всего, Дисплей 2: Количество позиций

[20] «Атака посредника на систему онлайн-банкинга ChipTAN Comfort» . RedTeam Pentesting GmbH . Проверено 1 декабря 2014 г.

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

[10]

[11]

[12]

[13]

[14]

[15]

[16]

[17]

[18]

[19]

[20]