FAQ

Степан Ильин aka Step

Хакер, номер #087, стр. 087-172-1

(faq@real.xakep.ru)

Задавая вопрос, подумай! Не стоит мне посылать вопросы, так или иначе связанные с хаком/крэком/фриком - для этого есть hack-faq (hackfaq@real.xakep.ru), не стоит также задавать откровенно ламерские вопросы, ответ на которые ты при определенном желании можешь найти и сам. Я не телепат, поэтому конкретизируй вопрос, присылай как можно больше информации.

Q: Когда речь заходит о троянах, форм-грабберах и прочей заразе, которая способна воровать конфиденциальные данные, очень часто упоминается возможность перехватывать так называемые TAN-коды. Объясни популярно, что они собой представляют и зачем, в принципе, нужны?

A: Если верить новостям, то за прошлый год удалые парни из России украли более 1 миллиона долларов с банковских счетов честных французских граждан. Возможно, сумма слегка преувеличена, но денег действительно увели немало. Многие банки сейчас предоставляют своим клиентам веб-интерфейс для управления своим счетом через Интернет (услуга называется Online Banking), которая, с одной стороны, намного облегчает пользователям жизнь, но с другой - открывает безграничные просторы для мошенников. С помощью взломанных интернет-ресурсов и внедренных в них эксплойтов, с большим процентом пробиваемости они заливают на компьютеры посетителей различного рода трояны. Основной целью заразы является перехват информации, вводимой пользователем в веб-формы. Среди множества пользовательских логинов и паролей к различным сервисам и службам нередко оказываются номера банковских счетов и PIN-коды для доступа. Завладев подобными данными, хакер без труда может авторизироваться на сайте банка и попробовать совершить денежные транзакции. Но в большинстве случаев ничего хорошего из этого не выйдет. Службы безопасности отлично понимают уязвимость подобной схемы, поэтому для совершения любой операции со счетом они требуют еще один код — TAN (Transaction Authentication Number). Если введенный код окажется верным, то транзакция пройдет успешно. Если кода в распоряжении хакера нет — выполнение операции завершится ошибкой, то есть система попросту откажет в доступе. Примечательно, что для каждой конкретной транзакции TAN-код является уникальным. Соответственно, если PIN-код у каждого владельца счета один, то TAN-кодов столько, сколько транзакций необходимо совершить. В этом и заключается прелесть подобного подхода: даже если хакер сможет перехватить номер счета, то PIN-код и, возможно, даже TAN все равно не провернут операцию со счетом. Для этого ему понадобятся свежие, еще не использованные TAN-коды, список которых регулярно высылается клиенту банком. Стоит заметить, что продвинутые трояны в некоторых случаях могут обойти и эту защиту. Действуют они по простой схеме: когда пользователь вводит TAN-код и отсылает запрос на сервер, троян выдает ему сообщение о неправильно введенном коде и требует ввести другой. Второй раз ошибка не выдается, и пользователь спокойно продолжает работу, однако ранее введенный TAN так и останется неиспользованным и запишется в логи трояна.

Содержание  Вперед на стр. 087-172-2
ttfb: 3.6580562591553 ms