Polisi Jerman: Autentikasi Dua Faktor Gagal

Otentikasi dua faktor Sistem yang banyak digunakan di Jerman gagal menghentikan kejahatan dunia maya dari menguras rekening bank, seorang pejabat penegak hukum Jerman mengatakan, Selasa.

Pada tahun lalu, sekitar 95 persen pelanggan perbankan online Jerman menggunakan kode "iTan", nomor rahasia acak yang diminta dari pelanggan bank selama transaksi online, kata Mirko Manske, kepala pengawasan detektif untuk Kantor Polisi Kriminal Federal Jerman.

Kode itan digunakan sebagai ukuran tambahan otentikasi selain informasi login pelanggan. Kode iTan hanya dapat digunakan sekali dan dimaksudkan untuk menggagalkan serangan perbankan online di mana penyerang memiliki semua informasi pelanggan lainnya.

[Bacaan lebih lanjut: Cara menghapus malware dari PC Windows Anda]

Tapi "itu tidak bekerja, "kata Manske saat presentasi di E-crime Congress di London. "Kami masih kehilangan uang."

Masalahnya adalah hacker telah menemukan cara untuk melakukan transaksi secara real time, memanfaatkan kode iTan dan membuat kontrol keamanan pada dasarnya tidak berguna.

Gaya serangan disebut man in tengah, di mana penyerang dapat mengubah data yang dipertukarkan antara PC yang diretas dan server bank. Versi lain disebut man in the browser, di mana program Trojan horse memodifikasi transaksi.

Manske, yang presentasinya disensor sebagian karena mengandung informasi sensitif, menunjukkan dua skenario di mana kode iTan digunakan selama transfer uang.

Dalam salah satu skenario, korban mendapat konfirmasi bahwa mereka mengirim € 500 (US $ 677). Bahkan, seorang peretas telah memodifikasi informasi dan mentransfer € 5.000 ke akun lain, kata Manske.

Insiden lain menunjukkan bagaimana programmer-programmer malware yang sudah maju secara teknis telah menjadi. Salah satu bank besar Jerman menghabiskan sejumlah besar uang untuk menerapkan sistem di mana foto huruf campur aduk, yang disebut CAPTCHA (uji Turing Publik Otomatis Sepenuhnya kepada Komputer dan Manusia), akan ditampilkan dengan detail transaksi, kata Manske.

CAPTCHA sering digunakan untuk mencoba dan menghentikan bot otomatis dari pendaftaran, misalnya, terlalu banyak akun e-mail, karena komputer tidak sebagus manusia dalam menguraikan sebagian karakter. Dalam kasus bank, CAPTCHA digunakan untuk memberikan verifikasi transaksi level lain.

Dalam contoh mengejutkan lain dari inovasi cybercrime, Manske mengatakan, para penyerang mengembangkan komponen khusus yang dapat membuat salinan CAPTCHA yang sempurna untuk digunakan untuk serangan man-in-the-middle. Salinan itu akan ditampilkan bersama dengan detail transaksi yang tampaknya benar selama serangan.

"Ada beberapa programmer yang sangat berbakat di luar sana," kata Manske.