FAQ

Степан Ильин aka Step

Хакер, номер #087, стр. 087-172-1

(faq@real.xakep.ru)

Задавая вопрос, подумай! Не стоит мне посылать вопросы, так или иначе связанные с хаком/крэком/фриком - для этого есть hack-faq (hackfaq@real.xakep.ru), не стоит также задавать откровенно ламерские вопросы, ответ на которые ты при определенном желании можешь найти и сам. Я не телепат, поэтому конкретизируй вопрос, присылай как можно больше информации.

Q: Когда речь заходит о троянах, форм-грабберах и прочей заразе, которая способна воровать конфиденциальные данные, очень часто упоминается возможность перехватывать так называемые TAN-коды. Объясни популярно, что они собой представляют и зачем, в принципе, нужны?

A: Если верить новостям, то за прошлый год удалые парни из России украли более 1 миллиона долларов с банковских счетов честных французских граждан. Возможно, сумма слегка преувеличена, но денег действительно увели немало. Многие банки сейчас предоставляют своим клиентам веб-интерфейс для управления своим счетом через Интернет (услуга называется Online Banking), которая, с одной стороны, намного облегчает пользователям жизнь, но с другой - открывает безграничные просторы для мошенников. С помощью взломанных интернет-ресурсов и внедренных в них эксплойтов, с большим процентом пробиваемости они заливают на компьютеры посетителей различного рода трояны. Основной целью заразы является перехват информации, вводимой пользователем в веб-формы. Среди множества пользовательских логинов и паролей к различным сервисам и службам нередко оказываются номера банковских счетов и PIN-коды для доступа. Завладев подобными данными, хакер без труда может авторизироваться на сайте банка и попробовать совершить денежные транзакции. Но в большинстве случаев ничего хорошего из этого не выйдет. Службы безопасности отлично понимают уязвимость подобной схемы, поэтому для совершения любой операции со счетом они требуют еще один код — TAN (Transaction Authentication Number). Если введенный код окажется верным, то транзакция пройдет успешно. Если кода в распоряжении хакера нет — выполнение операции завершится ошибкой, то есть система попросту откажет в доступе. Примечательно, что для каждой конкретной транзакции TAN-код является уникальным. Соответственно, если PIN-код у каждого владельца счета один, то TAN-кодов столько, сколько транзакций необходимо совершить. В этом и заключается прелесть подобного подхода: даже если хакер сможет перехватить номер счета, то PIN-код и, возможно, даже TAN все равно не провернут операцию со счетом. Для этого ему понадобятся свежие, еще не использованные TAN-коды, список которых регулярно высылается клиенту банком. Стоит заметить, что продвинутые трояны в некоторых случаях могут обойти и эту защиту. Действуют они по простой схеме: когда пользователь вводит TAN-код и отсылает запрос на сервер, троян выдает ему сообщение о неправильно введенном коде и требует ввести другой. Второй раз ошибка не выдается, и пользователь спокойно продолжает работу, однако ранее введенный TAN так и останется неиспользованным и запишется в логи трояна.

Содержание  Вперед на стр. 087-172-2
загрузка...
Журнал Хакер #151Журнал Хакер #150Журнал Хакер #149Журнал Хакер #148Журнал Хакер #147Журнал Хакер #146Журнал Хакер #145Журнал Хакер #144Журнал Хакер #143Журнал Хакер #142Журнал Хакер #141Журнал Хакер #140Журнал Хакер #139Журнал Хакер #138Журнал Хакер #137Журнал Хакер #136Журнал Хакер #135Журнал Хакер #134Журнал Хакер #133Журнал Хакер #132Журнал Хакер #131Журнал Хакер #130Журнал Хакер #129Журнал Хакер #128Журнал Хакер #127Журнал Хакер #126Журнал Хакер #125Журнал Хакер #124Журнал Хакер #123Журнал Хакер #122Журнал Хакер #121Журнал Хакер #120Журнал Хакер #119Журнал Хакер #118Журнал Хакер #117Журнал Хакер #116Журнал Хакер #115Журнал Хакер #114Журнал Хакер #113Журнал Хакер #112Журнал Хакер #111Журнал Хакер #110Журнал Хакер #109Журнал Хакер #108Журнал Хакер #107Журнал Хакер #106Журнал Хакер #105Журнал Хакер #104Журнал Хакер #103Журнал Хакер #102Журнал Хакер #101Журнал Хакер #100Журнал Хакер #099Журнал Хакер #098Журнал Хакер #097Журнал Хакер #096Журнал Хакер #095Журнал Хакер #094Журнал Хакер #093Журнал Хакер #092Журнал Хакер #091Журнал Хакер #090Журнал Хакер #089Журнал Хакер #088Журнал Хакер #087Журнал Хакер #086Журнал Хакер #085Журнал Хакер #084Журнал Хакер #083Журнал Хакер #082Журнал Хакер #081Журнал Хакер #080Журнал Хакер #079Журнал Хакер #078Журнал Хакер #077Журнал Хакер #076Журнал Хакер #075Журнал Хакер #074Журнал Хакер #073Журнал Хакер #072Журнал Хакер #071Журнал Хакер #070Журнал Хакер #069Журнал Хакер #068Журнал Хакер #067Журнал Хакер #066Журнал Хакер #065Журнал Хакер #064Журнал Хакер #063Журнал Хакер #062Журнал Хакер #061Журнал Хакер #060Журнал Хакер #059Журнал Хакер #058Журнал Хакер #057Журнал Хакер #056Журнал Хакер #055Журнал Хакер #054Журнал Хакер #053Журнал Хакер #052Журнал Хакер #051Журнал Хакер #050Журнал Хакер #049Журнал Хакер #048Журнал Хакер #047Журнал Хакер #046Журнал Хакер #045Журнал Хакер #044Журнал Хакер #043Журнал Хакер #042Журнал Хакер #041Журнал Хакер #040Журнал Хакер #039Журнал Хакер #038Журнал Хакер #037Журнал Хакер #036Журнал Хакер #035Журнал Хакер #034Журнал Хакер #033Журнал Хакер #032Журнал Хакер #031Журнал Хакер #030Журнал Хакер #029Журнал Хакер #028Журнал Хакер #027Журнал Хакер #026Журнал Хакер #025Журнал Хакер #024Журнал Хакер #023Журнал Хакер #022Журнал Хакер #021Журнал Хакер #020Журнал Хакер #019Журнал Хакер #018Журнал Хакер #017Журнал Хакер #016Журнал Хакер #015Журнал Хакер #014Журнал Хакер #013Журнал Хакер #012Журнал Хакер #011Журнал Хакер #010Журнал Хакер #009Журнал Хакер #008Журнал Хакер #007Журнал Хакер #006Журнал Хакер #005Журнал Хакер #004Журнал Хакер #003Журнал Хакер #002Журнал Хакер #001