Numer uwierzytelniający transakcję
Numer uwierzytelniania transakcji ( TAN ) jest używany przez niektóre usługi bankowości internetowej jako forma jednorazowych haseł jednorazowych (OTP) do autoryzacji transakcji finansowych . Numery TAN to druga warstwa zabezpieczeń wykraczająca poza tradycyjne uwierzytelnianie za pomocą jednego hasła .
Numery TAN zapewniają dodatkowe bezpieczeństwo, ponieważ działają jako forma uwierzytelniania dwuskładnikowego (2FA). Jeśli fizyczny dokument lub token zawierający TAN zostanie skradziony, bez hasła będzie bezużyteczny. I odwrotnie, jeśli dane logowania zostaną uzyskane, bez ważnego TAN nie można wykonać żadnej transakcji.
Klasyczny TAN
TAN często działają w następujący sposób:
- Bank tworzy dla użytkownika zestaw unikalnych numerów TAN. Zwykle na liście wydrukowanych jest 50 numerów TAN, co wystarcza na pół roku dla zwykłego użytkownika; każdy TAN ma długość sześciu lub ośmiu znaków.
- Użytkownik odbiera listę w najbliższej placówce banku (po okazaniu paszportu , dowodu osobistego lub podobnego dokumentu) lub otrzymuje listę TAN pocztą.
- Hasło (PIN) jest wysyłane oddzielnie.
- Aby zalogować się na swoje konto, użytkownik musi podać nazwę użytkownika (często numer konta) oraz hasło ( PIN ). Może to dać dostęp do informacji o koncie, ale możliwość przetwarzania transakcji jest wyłączona.
- Aby wykonać transakcję, użytkownik wprowadza żądanie i autoryzuje transakcję, wprowadzając niewykorzystany TAN. Bank weryfikuje przesłany TAN z listą numerów TAN, które wydał użytkownikowi. Jeśli jest to dopasowanie, transakcja jest przetwarzana. Jeśli nie pasuje, transakcja jest odrzucana.
- Numer TAN został już wykorzystany i nie będzie uznawany w żadnych dalszych transakcjach.
- Jeśli lista TAN zostanie naruszona, użytkownik może ją anulować, powiadamiając o tym bank.
Ponieważ jednak każdy numer TAN może być użyty do dowolnej transakcji, numery TAN są nadal podatne na ataki phishingowe, w których ofiara jest nakłaniana do podania zarówno hasła/kodu PIN, jak i jednego lub kilku numerów TAN. Ponadto nie zapewniają one żadnej ochrony przed atakami typu man-in-the-middle (gdzie osoba atakująca przechwytuje transmisję TAN i wykorzystuje ją do sfałszowania transakcji). Zwłaszcza, gdy system kliencki zostanie naruszony przez jakąś formę złośliwego oprogramowania , które umożliwia złośliwemu użytkownikowi , prawdopodobieństwo nieautoryzowanej transakcji jest wysokie. Chociaż pozostałe numery TAN są bezkompromisowe i można ich bezpiecznie używać, ogólnie zaleca się użytkownikom jak najszybsze podjęcie odpowiednich działań.
TAN indeksowany (iTAN)
Zindeksowane numery TAN zmniejszają ryzyko phishingu. Aby autoryzować transakcję, użytkownik nie jest proszony o użycie dowolnego numeru TAN z listy, ale o wprowadzenie określonego numeru TAN, identyfikowanego przez kolejny numer (indeks). Ponieważ indeks jest wybierany losowo przez bank, arbitralny TAN zdobyty przez atakującego jest zwykle bezwartościowy.
Jednak iTAN są nadal podatne na ataki typu „man-in-the-middle” , w tym ataki typu phishing, w ramach których osoba atakująca nakłania użytkownika do zalogowania się na sfałszowanej kopii strony internetowej banku oraz ataki typu „man-in-the-browser” , które umożliwiają osobie atakującej potajemne wymieniać szczegóły transakcji w tle komputera, a także ukrywać rzeczywiste transakcje przeprowadzane przez atakującego w przeglądzie konta online.
Dlatego w 2012 roku Agencja Unii Europejskiej ds. Bezpieczeństwa Sieci i Informacji poradziła wszystkim bankom, aby domyślnie uznały, że systemy komputerów osobistych swoich użytkowników są zainfekowane złośliwym oprogramowaniem i stosowały procesy bezpieczeństwa, w których użytkownik może sprawdzić krzyżowo dane transakcji pod kątem manipulacji, takich jak np. ( pod warunkiem bezpieczeństwa telefonu komórkowego) mTAN lub czytniki kart inteligentnych z własnym ekranem włączającym dane transakcji do procesu generowania TAN, wyświetlając je wcześniej użytkownikowi ( chipTAN ).
Indeksowany TAN z CAPTCHA (iTANplus)
Przed wprowadzeniem numeru iTAN użytkownikowi prezentowana jest funkcja CAPTCHA , która w tle pokazuje również dane transakcji oraz dane uznane przez potencjalnego napastnika za nieznane, takie jak data urodzenia użytkownika. Ma to na celu utrudnienie (ale nie uniemożliwienie) atakującemu sfałszowania CAPTCHA.
Ten wariant iTAN jest metodą stosowaną przez niektóre niemieckie banki, która dodaje CAPTCHA w celu zmniejszenia ryzyka ataków typu man-in-the-middle. Niektóre chińskie banki wdrożyły również metodę TAN podobną do iTANplus. Niedawne badanie pokazuje, że te schematy TAN oparte na CAPTCHA nie są bezpieczne przed bardziej zaawansowanymi automatycznymi atakami.
Mobilny TAN (mTAN)
Kody mTAN są używane przez banki w Austrii, Bułgarii, Czechach, Niemczech, na Węgrzech, w Holandii, Polsce, Rosji, Singapurze, RPA, Hiszpanii, Szwajcarii i częściowo w Nowej Zelandii, Australii i na Ukrainie. Gdy użytkownik inicjuje transakcję, bank generuje numer TAN i wysyła go SMS-em na telefon komórkowy użytkownika . SMS może również zawierać dane transakcyjne, dzięki czemu użytkownik może zweryfikować, czy transakcja nie została zmodyfikowana podczas przesyłania do banku.
Jednak bezpieczeństwo tego schematu zależy od bezpieczeństwa systemu telefonii komórkowej. W Afryce Południowej, gdzie kody TAN dostarczane w wiadomościach SMS są powszechne, pojawił się nowy atak: SIM Swap Fraud. Typowym wektorem ataku jest podszywanie się pod ofiarę i uzyskiwanie od operatora sieci komórkowej zastępczej karty SIM do telefonu ofiary . Nazwa użytkownika i hasło ofiary są uzyskiwane innymi sposobami (takimi jak keylogger lub phishing) . ). Pomiędzy uzyskaniem sklonowanej/zamiennej karty SIM a ofiarą zauważenia, że jej telefon już nie działa, atakujący może przenieść/wydobyć środki ofiary z jej kont. W 2016 roku socjotechnik przeprowadził badanie dotyczące oszustw związanych z wymianą kart SIM , ujawniając słabości w wydawaniu numerów do przenoszenia.
opublikowano lukę w Systemie Sygnalizacji Nr 7 służącym do przesyłania SMS-ów, która umożliwia przechwytywanie wiadomości. Pokazał to Tobias Engel podczas 31. Kongresu Komunikacji Chaosu . Na początku 2017 r. luka ta została z powodzeniem wykorzystana w Niemczech do przechwytywania SMS-ów i oszukańczego przekierowywania transferów środków.
Również rozwój smartfonów doprowadził do ataków złośliwego oprogramowania, które próbowały jednocześnie zainfekować komputer i telefon komórkowy, a także złamać schemat mTAN.
pushTAN
pushTAN to oparty na aplikacji schemat TAN opracowany przez niemiecką grupę bankową Sparkassen, redukujący niektóre niedociągnięcia schematu mTAN . Eliminuje koszt wiadomości SMS i nie jest podatny na oszustwa związane z kartami SIM, ponieważ wiadomości wysyłane są za pośrednictwem specjalnej aplikacji do wysyłania wiadomości tekstowych na smartfon użytkownika za pomocą szyfrowanego połączenia internetowego. Podobnie jak mTAN, schemat umożliwia użytkownikowi sprawdzenie szczegółów transakcji pod kątem ukrytych manipulacji dokonywanych przez trojany na komputerze użytkownika poprzez dołączenie rzeczywistych szczegółów transakcji otrzymanych przez bank w wiadomości pushTAN. Chociaż jest to analogiczne do używania mTAN ze smartfonem, istnieje ryzyko równoległej infekcji komputera PC i smartfona złośliwym oprogramowaniem. Aby zmniejszyć to ryzyko, aplikacja pushTAN przestaje działać, jeśli urządzenie mobilne jest zrootowane lub po jailbreaku. Pod koniec 2014 roku Deutsche Kreditbank (DKB) również przyjął schemat pushTAN.
Generatory TAN
Proste generatory TAN
Ryzyko włamania się do całej listy TAN można zmniejszyć stosując tokeny bezpieczeństwa generujące TAN w locie na podstawie znanego bankowi sekretu przechowywanego w tokenie lub włożonej do tokena karty inteligentnej.
Wygenerowany numer TAN nie jest jednak powiązany ze szczegółami konkretnej transakcji. Ponieważ numer TAN jest ważny dla każdej przesłanej z nim transakcji, nie chroni przed typu phishing , w których osoba atakująca używa numeru TAN, ani przed atakami typu man-in-the-middle .
ChipTAN / Sm@rt-TAN / CardTAN
ChipTAN to schemat TAN używany przez wiele niemieckich i austriackich banków. Jest znany jako ChipTAN lub Sm@rt-TAN w Niemczech i jako CardTAN w Austrii, podczas gdy cardTAN jest technicznie niezależnym standardem.
Generator ChipTAN nie jest powiązany z konkretnym kontem; zamiast tego użytkownik musi włożyć swoją kartę bankową podczas użytkowania. Wygenerowany TAN jest specyficzny dla karty bankowej, jak również dla bieżących szczegółów transakcji. Istnieją dwa warianty: W starszym wariancie szczegóły transakcji (przynajmniej kwotę i numer rachunku) należy wprowadzić ręcznie. W wariancie nowoczesnym użytkownik wprowadza transakcję online, następnie generator TAN odczytuje szczegóły transakcji za pomocą migającego kodu kreskowego na ekranie komputera (za pomocą fotodetektorów ). Następnie pokazuje użytkownikowi szczegóły transakcji na własnym ekranie w celu potwierdzenia przed wygenerowaniem numeru TAN.
Ponieważ jest to niezależny sprzęt, połączony jedynie prostym kanałem komunikacyjnym, generator TAN nie jest podatny na ataki z komputera użytkownika. Nawet jeśli komputer zostanie przejęty przez trojana lub nastąpi atak typu „man-in-the-middle” , wygenerowany kod TAN jest ważny tylko dla transakcji potwierdzonej przez użytkownika na ekranie generatora kodów TAN, dlatego modyfikacja transakcji z mocą wsteczną byłaby spowodować, że numer TAN będzie nieważny.
Dodatkową zaletą tego schematu jest to, że ponieważ generator TAN jest ogólny i wymaga włożenia karty, można go używać z wieloma kontami w różnych bankach, a zgubienie generatora nie stanowi zagrożenia dla bezpieczeństwa, ponieważ dane krytyczne dla bezpieczeństwa są przechowywane na karcie bankowej.
Chociaż zapewnia ochronę przed manipulacjami technicznymi, schemat ChipTAN jest nadal podatny na inżynierię społeczną . Atakujący próbowali nakłonić samych użytkowników do autoryzacji przelewu pod pretekstem, np. twierdząc, że bank wymaga „przelewu testowego” lub że firma fałszywie przelała pieniądze na konto użytkownika i należy je „odesłać”. Dlatego użytkownicy nigdy nie powinni potwierdzać przelewów bankowych, których sami nie zainicjowali.
ChipTAN jest również używany do zabezpieczania transferów wsadowych ( Sammelüberweisungen ). Jednak ta metoda oferuje znacznie mniejsze bezpieczeństwo niż ta dla pojedynczych przelewów. W przypadku transferu wsadowego generator TAN pokaże tylko liczbę i łączną kwotę wszystkich przelewów łącznie – dlatego w przypadku transferów wsadowych ochrona przed manipulacją ze strony trojana jest niewielka. Luka ta została zgłoszona przez RedTeam Pentesting w listopadzie 2009. W odpowiedzi, jako środek zaradczy, niektóre banki zmieniły sposób obsługi przelewów wsadowych, tak aby przelewy zbiorcze zawierające tylko jeden rekord były traktowane jako pojedyncze przelewy.