RSA: банковские SMS токены уязвимы

Discussion in 'Мировые новости. Обсуждения.' started by Law, 18 Jan 2011.

  1. Law

    Law Member

    Joined:
    10 Oct 2010
    Messages:
    212
    Likes Received:
    44
    Reputations:
    6
    Количество атак мобильных телефонов увеличится в этом году из-за того, что преступники пытаются перехватывать SMS токены аутентификации, говорит компания RSA.

    Токены были созданы для того, чтобы дополнить собой ввод имени пользователя и пароля, требуя от пользователя подтвердить платеж уникальным цифровым кодом, в данном случае высылаемым посредством SMS-сообщения.

    Услуга становится всё более популярной, и Commonwealth Bank of Australia отмечает, что 80 процентов их клиентов используют токены для того, чтобы подтвердить платежи третьим лицам с помощью SMS или с помощью более надежных портативных генераторов ключей. Банк не заставляет клиентов использовать данную услугу, но те, кто не захочет пользоваться ей, не смогут производить операции с высокой степенью риска через Интернет-банк.

    В прогнозе на 2011 год RSA отметила, что рассылка токенов посредством SMS сделает телефоны мишенью.

    "Использование аутентификации с помощью SMS … как дополнительного средства обеспечения безопасности, добавляет уязвимое место в мобильный канал", - сказала компания в докладе.

    "Преступник может … провести телефонную атаку типа отказа в обслуживании, и мобильный телефон потребителя не будет работать".

    "Сервис перенаправления SMS сообщений также становится привычным объектом для мошенников и дает им возможность перехватить (токен), высланный банком на мобильный телефон пользователя, и перенаправить его на телефон киберпреступника".

    Компания предсказала, что количество смишинг-атак и фишинга на мобильных телефонах, проводимого с помощью SMS, также увеличится в этом году.

    "Количество успешных смишинг-атак больше, чем стандартных фишинг-атак, потому что потребители не ожидают получить спам на мобильный телефон и, скорее всего, поверят, что сообщение - законное", - сказано в докладе.

    Также сказано, что не существует эффективных технологий по предотвращению смишинга.

    18/01/2011
    http://www.xakep.ru/post/54564/
     
    #1 Law, 18 Jan 2011
  2. HIMIKAT

    HIMIKAT Elder - Старейшина

    Joined:
    12 Jan 2007
    Messages:
    2,707
    Likes Received:
    581
    Reputations:
    403
    Я думал здесь что-то конкретное скажут, а они все теорию. Имхо эти токены в десятки раз усложняют проведение атаки, а если пользователь достаточно IT грамотен, практически сводят ее на нет. WM+Enum, убойная связка, в плане безопасности.
     
    #2 HIMIKAT, 18 Jan 2011
(You must log in or sign up to post here.)