Номер аутентификации транзакции

Номер аутентификации транзакции ( TAN ) используется некоторыми службами онлайн-банкинга в качестве формы одноразовых паролей (OTP) для авторизации финансовых транзакций . TAN — это второй уровень безопасности, выходящий за рамки традиционной аутентификации с помощью одного пароля .

TAN обеспечивают дополнительную безопасность, поскольку они действуют как форма двухфакторной аутентификации (2FA). Если физический документ или токен, содержащий TAN, украден, он будет бесполезен без пароля. И наоборот, если получены данные для входа, никакие транзакции не могут быть выполнены без действительного TAN.

Классический ТАН

TAN часто функционируют следующим образом:

  1. Банк создает набор уникальных TAN для пользователя. [1] Обычно в списке печатается 50 TAN, чего обычному пользователю хватит на полгода; каждый TAN состоит из шести или восьми символов.
  2. Пользователь может забрать список в ближайшем отделении банка (предъявив паспорт , удостоверение личности или аналогичный документ) или получить список TAN по почте.
  3. Пароль (ПИН-код) высылается отдельно.
  4. Чтобы войти в свою учетную запись, пользователь должен ввести имя пользователя (часто номер учетной записи) и пароль ( PIN-код ). Это может дать доступ к информации об учетной записи, но возможность обработки транзакций отключена.
  5. Для выполнения транзакции пользователь вводит запрос и авторизует транзакцию, вводя неиспользованный TAN. Банк сверяет предоставленный TAN со списком TAN, выданных пользователю. Если он совпадает, транзакция обрабатывается. Если он не совпадает, транзакция отклоняется.
  6. TAN уже использован и не будет распознаваться для дальнейших транзакций.
  7. Если список TAN скомпрометирован, пользователь может аннулировать его, уведомив об этом банк.

Однако, поскольку любой TAN может быть использован для любой транзакции, TAN по-прежнему подвержены фишинговым атакам, когда жертву обманывают, заставляя предоставить как пароль/PIN, так и один или несколько TAN. Кроме того, они не обеспечивают защиты от атак типа «человек посередине» , когда злоумышленник перехватывает передачу TAN и использует его для поддельной транзакции, например, когда клиентская система оказывается скомпрометированной какой-либо формой вредоносного ПО , позволяющего злоумышленнику . Хотя оставшиеся TAN не скомпрометированы и могут использоваться безопасно, пользователям обычно рекомендуется предпринять дальнейшие действия как можно скорее.

Индексированный TAN (iTAN)

Индексированные TAN снижают риск фишинга. Для авторизации транзакции пользователю не предлагается использовать произвольный TAN из списка, а требуется ввести конкретный TAN, идентифицированный порядковым номером (индексом). Поскольку индекс выбирается банком случайным образом, произвольный TAN, полученный злоумышленником, обычно бесполезен.

Однако iTAN по-прежнему подвержены атакам типа «человек посередине» , включая фишинговые атаки, когда злоумышленник обманывает пользователя, заставляя его войти на поддельную копию веб-сайта банка, и атаки типа «человек в браузере» [2] , которые позволяют злоумышленнику тайно подменять данные транзакции в фоновом режиме ПК, а также скрывать фактические транзакции, выполняемые злоумышленником в обзоре онлайн-счета. [3]

Поэтому в 2012 году Агентство Европейского союза по сетевой и информационной безопасности рекомендовало всем банкам учитывать, что ПК-системы их пользователей по умолчанию заражены вредоносным ПО , и использовать процессы безопасности, в которых пользователь может перепроверить данные транзакций на предмет манипуляций, например (при условии, что безопасность мобильного телефона выдерживает) mTAN или считыватели смарт-карт с собственным экраном, включая данные транзакций в процесс генерации TAN, предварительно отображая их пользователю (chipTAN). [4]

Индексированный TAN с CAPTCHA (iTANplus)

Перед вводом iTAN пользователю предлагается CAPTCHA , которая на заднем плане также показывает данные транзакции и данные, которые потенциальному злоумышленнику неизвестны, например, дату рождения пользователя. Это сделано для того, чтобы злоумышленнику было трудно (но не невозможно) подделать CAPTCHA.

Этот вариант метода iTAN, используемый некоторыми немецкими банками, добавляет CAPTCHA для снижения риска атак типа «человек посередине». [5] Некоторые китайские банки также внедрили метод TAN, аналогичный iTANplus. Недавнее исследование показывает, что эти схемы TAN на основе CAPTCHA не защищены от более сложных автоматизированных атак. [6]

Мобильный TAN (mTAN)

mTAN используются банками в Австрии, Болгарии, Чехии, Германии, Венгрии, Малайзии, Нидерландах, Польше, России, Сингапуре, Южной Африке, Испании, Швейцарии и некоторыми банками в Новой Зеландии, Австралии, Великобритании и Украине. Когда пользователь инициирует транзакцию, банк генерирует TAN и отправляет его на мобильный телефон с помощью SMS . SMS также может включать данные транзакции, что позволяет пользователю проверить, что транзакция не была изменена при передаче в банк.

Однако безопасность этой схемы зависит от безопасности системы мобильной связи. В Южной Африке, где распространены коды TAN, отправляемые по SMS, появилась новая атака: мошенничество с подменой SIM-карт. Распространенным вектором атаки является выдача злоумышленником за жертву и получение сменной SIM-карты для телефона жертвы у оператора мобильной связи . Имя пользователя и пароль жертвы получаются другими способами (например, кейлоггинг или фишинг ). В промежутке между получением клонированной/сменной SIM-карты и обнаружением жертвой того, что ее телефон больше не работает, злоумышленник может перевести/извлечь средства жертвы со счетов. [7] В 2016 году социальным инженером было проведено исследование мошенничества с подменой SIM-карт , выявившее слабые места в выдаче номеров для переноса.

В 2014 году была опубликована уязвимость в системе сигнализации № 7 , используемой для передачи SMS, которая позволяет перехватывать сообщения. Она была продемонстрирована Тобиасом Энгелем во время 31-го конгресса Chaos Communication . [8] В начале 2017 года эта уязвимость была успешно использована в Германии для перехвата SMS и мошеннического перенаправления денежных переводов. [9]

Кроме того, рост популярности смартфонов привел к атакам вредоносного ПО, пытающегося одновременно заразить ПК и мобильный телефон, а также взломать схему mTAN. [10]

pushTAN

pushTAN — это схема TAN на основе приложения от немецкой банковской группы Sparkassen, которая устраняет некоторые недостатки схемы mTAN. Она устраняет стоимость SMS-сообщений и не подвержена мошенничеству с SIM-картами, поскольку сообщения отправляются через специальное приложение для обмена текстовыми сообщениями на смартфон пользователя с использованием зашифрованного интернет-соединения. Как и mTAN, схема позволяет пользователю перепроверять данные транзакции на предмет скрытых манипуляций, выполняемых троянами на ПК пользователя, путем включения фактических данных транзакции, полученных банком в сообщение pushTAN. Хотя это аналогично использованию mTAN со смартфоном, существует риск параллельного заражения ПК и смартфона вредоносным ПО. Чтобы снизить этот риск, приложение pushTAN перестает работать, если мобильное устройство имеет root-доступ или джейлбрейк. [11] В конце 2014 года Deutsche Kreditbank (DKB) также принял схему pushTAN. [12]

Генераторы ТАН

Простые генераторы TAN

Риск компрометации всего списка TAN можно снизить, используя токены безопасности , которые генерируют TAN «на лету» на основе секрета, известного банку и хранящегося в токене или смарт-карте, вставленной в токен.

Однако сгенерированный TAN не привязан к деталям конкретной транзакции. Поскольку TAN действителен для любой транзакции, отправленной с ним, он не защищает от фишинговых атак, когда TAN напрямую используется злоумышленником, или от атак типа «человек посередине» .

ЧипТАН / См@рт-ТАН / КардТАН

Генератор ChipTAN (оптическая версия) с прикрепленной банковской картой. Две белые стрелки обозначают границы штрих-кода на экране компьютера.

ChipTAN — это схема TAN, используемая многими немецкими и австрийскими банками. [13] [14] [15] Она известна как ChipTAN или Sm@rt-TAN [16] в Германии и как CardTAN в Австрии, тогда как cardTAN — это технически независимый стандарт. [17]

Генератор ChipTAN не привязан к определенному счету; вместо этого пользователь должен вставить свою банковскую карту во время использования. Сгенерированный TAN специфичен для банковской карты, а также для текущих данных транзакции. Существует два варианта: В более старом варианте данные транзакции (как минимум сумма и номер счета) должны быть введены вручную.В современном варианте пользователь вводит транзакцию онлайн, затем генератор TAN считывает данные транзакции с помощью мерцающего штрих-кода на экране компьютера (с помощью фотодетекторов ). Затем он показывает данные транзакции на своем экране пользователю для подтверждения перед генерацией TAN.

Поскольку это независимое оборудование, связанное только простым каналом связи, генератор TAN не подвержен атаке с компьютера пользователя. Даже если компьютер будет взломан трояном или произойдет атака типа «человек посередине» , сгенерированный TAN действителен только для транзакции, подтвержденной пользователем на экране генератора TAN, поэтому изменение транзакции задним числом приведет к тому, что TAN станет недействительным.

Дополнительным преимуществом этой схемы является то, что, поскольку генератор TAN является универсальным и требует вставки карты, его можно использовать с несколькими счетами в разных банках, а потеря генератора не представляет угрозы безопасности, поскольку критически важные для безопасности данные хранятся на банковской карте.

Хотя схема ChipTAN обеспечивает защиту от технических манипуляций, она по-прежнему уязвима для социальной инженерии . Злоумышленники пытались убедить самих пользователей авторизовать перевод под предлогом, например, утверждая, что банк требует «тестовый перевод» или что компания ложно перевела деньги на счет пользователя и они должны «отправить их обратно». [2] [18] Поэтому пользователи никогда не должны подтверждать банковские переводы, которые они не инициировали сами.

ChipTAN также используется для защиты пакетных переводов ( Sammelüberweisungen ). Однако этот метод обеспечивает значительно меньшую безопасность, чем метод для отдельных переводов. В случае пакетного перевода генератор TAN покажет только количество и общую сумму всех переводов вместе взятых — таким образом, для пакетных переводов существует небольшая защита от манипуляций со стороны трояна. [19] Об этой уязвимости сообщила RedTeam Pentesting в ноябре 2009 года. [20] В ответ на это, в качестве смягчения, некоторые банки изменили обработку пакетных переводов таким образом, что пакетные переводы, содержащие только одну запись, обрабатываются как отдельные переводы.

Смотрите также

Ссылки

  1. ^ "Номер аутентификации транзакции (TAN)". Fraud.net . Получено 2023-12-14 .
  2. ^ Кандид Вюэст, Symantec Global Security Response Team Текущие достижения в области банковских троянов? Архивировано 25.04.2014 на Wayback Machine iriss.ie, Irish Reporting and Information Security Service, 2 декабря 2012 г. (PDF; 1,9 МБ)
  3. ^ Катюша: LKA zerschlägt Ring von Online-Betrügern WinFuture.de, 29 октября 2010 г.
  4. ^ Онлайн-ограбления банков «High Roller» выявили пробелы в системе безопасности. Агентство Европейского Союза по сетевой и информационной безопасности, 5 июля 2012 г.
  5. ^ Heise онлайн (26 октября 2007 г.). «Verbessertes iTAN-Verfahren soll vor Manipulationen durch Trojaner schützen» (на немецком языке).
  6. ^ Ли, Шуджун; Сайед Амир Хайдер Шах; Мухаммад Асад Усман Хан; Сайед Али Хайям; Ахмад-Реза Садеги; Роланд Шмитц (2010). «Взлом CAPTCHA в электронном банкинге». Труды 26-й ежегодной конференции по приложениям компьютерной безопасности (ACSAC 2010) . Нью-Йорк, Нью-Йорк, США: ACM. стр. 171–180. doi :10.1145/1920261.1920288.
  7. ^ Кошмар жертвы мошенничества с подменой SIM-карты iol.co.za, Independent Online, 12 января 2008 г.
  8. ^ "31C3: Mobilfunk-Protokoll SS7 offen wie ein Scheunentor" (на немецком языке). 2014-12-28.
  9. ^ Фабиан А. Шершель (3 мая 2017 г.). «Deutsche Bankkonten über UMTS-Sicherheitslücken ausgeräumt» (на немецком языке).
  10. ^ SMS-троян Eurograbber крадет 36 миллионов евро из онлайн-банков techworld.com, 5 декабря 2012 г.
  11. ^ Интернет-банкинг с pushTAN — Часто задаваемые вопросы berliner-sparkasse.de, Berliner Sparkasse (AöR), дата обращения 27 августа 2014 г.
  12. Informationen zu pushTAN dkb.de, Deutsche Kreditbank AG, дата обращения 12 марта 2015 г.
  13. Postbank chipTAN официальная страница Postbank, получено 10 апреля 2014 г.
  14. ^ чипTAN: Listen werden überflüssig официальная страница Sparkasse, дата обращения 10 апреля 2014 г.
  15. Официальная страница Die cardTAN Raiffeisen Bankengruppe Österreich, дата обращения 10 апреля 2014 г.
  16. ^ "Sm@rt-TAN". www.vr-banking-app.de (на немецком языке) . Получено 10 октября 2018 г.
  17. ^ Die neue cardTAN ebankingsicherheit.at, Gemalto NV, Получено 22 октября 2014 г.
  18. ^ Атака Tatanga раскрывает уязвимости chipTAN trusteer.com, 4 сентября 2012 г.
  19. ^ "chipTAN-Verfahren / Был ли он в TAN-Generator angezeigt?" (PDF) . Спаркасса Некарталь-Оденвальд. Июнь 2013 года . Проверено 1 декабря 2014 г. SEPA-Sammelüberweisung, Inhalt: mehr als 1 Posten. Anzeige 1: Итог, Anzeige 2: Anzahl Posten
  20. ^ "Атаки типа "человек посередине" на систему онлайн-банкинга chipTAN comfort". RedTeam Pentesting GmbH . Получено 1 декабря 2014 г.
На Викискладе есть медиафайлы по теме Номер аутентификации транзакции .
Получено с "https://en.wikipedia.org/w/index.php?title=Transaction_authentication_number&oldid=1190431740"