Գործարքների նույնականացման համարներ

Ենթակատեգորիա	• Գաղտնաբառ; • one-time password
Կիրառությունը	Առցանց բանկային գործ

Գործարքների նույնականացման համարները (TAN-եր) ծառայում են որպես առցանց բանկային գործունեության կարևորագույն անվտանգության միջոց, որն առաջարկում է պաշտպանության մի շերտ, բացի ավանդական գաղտնաբառի նույնականացումից։ Այս «TAN»-երը գործում են որպես մեկանգամյա օգտագործման, մեկանգամյա գաղտնաբառեր (OTP), որոնք ապահովում են անվտանգության լրացուցիչ մակարդակ ֆինանսական գործարքները թույլատրելու համար։ «TAN»-երի առաջնային նպատակն է իրականացնել երկու գործոն նույնականացում (2FA), դրանով իսկ ամրապնդելով առցանց բանկային գործարքների անվտանգությունը։ «TAN»-երը լրացնում են ավանդական օգտանունների և գաղտնաբառի մուտքի գործընթացը՝ նույնականացման լրացուցիչ քայլով։ Այս դեպքում գործարքն ավարտելու համար անհրաժեշտ է ունենալ և՛ մուտքի հավատարմագրերը (օգտանուն/գաղտնաբառ), և՛ «TAN»-ը։ Այս կրկնակի նույնականացման գործընթացը զգալիորեն նվազեցնում է չարտոնված մուտքի վտանգը։

«TAN»-երը ստեղծվում են նաև մեկանգամյա օգտագործման նպատակներով, ինչը նշանակում է, որ յուրաքանչյուր «TAN»-ը կարող է օգտագործվել միայն մեկ անգամ՝ որոշակի գործարք թույլատրելու համար։ Սա կանխում է չարտոնված անձանց խարդախության համար «TAN»-երի գաղտնալսումը և վերօգտագործումը։

«TAN»-երն առաջարկում են անվտանգության կայուն միջոցներ տարբեր սպառնալիքներից։ Եթե «TAN»-եր պարունակող ֆիզիկական փաստաթուղթը կամ նշանը գողացվել է, այն մնում է անարդյունավետ՝ առանց համապատասխան մուտքի հավատարմագրերի (օգտանուն/գաղտնաբառ)։ Նմանապես, նույնիսկ եթե մուտքի հավատարմագրերը վտանգված են, հանցագործները չեն կարող գործարքներ կատարել առանց վավեր «TAN»-ի՝ բարձրացնելով հաշվի ընդհանուր անվտանգությունը։

«TAN»-երը կարող են առաքվել տարբեր միջոցների միջոցով, ներառյալ SMS-ը, էլ.փոստը կամ նույնականացման հատուկ սարքերը։ Այս բազմակողմանիությունը թույլ է տալիս բանկերին սպասարկել հաճախորդների տարբեր նախասիրությունները՝ պահպանելով անվտանգության խիստ չափանիշները։

Ներգրավելով «TAN»-երն իրենց առցանց բանկային համակարգերում՝ ֆինանսական հաստատությունները կարող են ամրապնդել իրենց անվտանգության արձանագրությունները և հաճախորդների շրջանում ավելի մեծ վստահություն սերմանել իրենց ֆինանսական գործարքների անվտանգության վերաբերյալ։ Քանի որ կիբեր սպառնալիքները շարունակում են զարգանալ, «TAN»-երը կենսական դեր են խաղում զգայուն բանկային տեղեկատվության պաշտպանության և չարտոնված մուտքի և խարդախ գործողությունների կանխման գործում։

Դասական TAN[խմբագրել | խմբագրել կոդը]

TAN-ները հաճախ գործում են հետևյալ կերպ.

Բանկը օգտատիրոջ համար ստեղծում է եզակի «TAN»-երի հավաքածու, որը սովորաբար բաղկացած է ցուցակում տպված 50 «TAN»-ից^[1]։ Յուրաքանչյուր «TAN»-ը վեց կամ ութանիշ այբբենական կոդ է, որն ապահովում է բավարար պաշար նորմալ օգտագործման համար որոշակի ժամանակահատվածի համար, օրինակ՝ վեց ամիս։
Օգտատերը ստանում է «TAN» ցուցակը մոտակա բանկի մասնաճյուղից՝ ներկայացնելով համապատասխան նույնականացման փաստաթղթեր, ինչպիսիք են անձնագիրը կամ ID քարտը։ Որպես այլընտրանք, «TAN» ցուցակը կարող է ուղարկվել օգտվողին փոստով։
Գաղտնաբառը (PIN) փոստով ուղարկվում է առանձին։
Իր հաշիվ մուտք գործելու համար օգտատերը մուտքագրում է իր օգտանունը (հաճախ հաշվի համարը) և գաղտնաբառը (PIN): Սա թույլ է տալիս մուտք գործել հաշվի տեղեկատվությունը դիտելու համար, սակայն գործարքների մշակման հնարավորություններն այս փուլում անջատված են։
Գործարք սկսելիս օգտատերը ներկայացնում է հարցումը և թույլատրում այն՝ ցուցակից մուտքագրելով չօգտագործված «TAN»: Բանկը ստուգում է ներկայացված «TAN»-ը թողարկված ցուցակի համեմատ։ Եթե «TAN»-ը համընկնում է, գործարքը մշակվում է. հակառակ դեպքում մերժվում է։
ուրաքանչյուր «TAN»-ը մեկանգամյա օգտագործման է, ինչը նշանակում է, որ գործարքի համար օգտագործելուց հետո այն դառնում է անվավեր։ Սա երաշխավորում է, որ «TAN»-երը չեն կարող կրկին օգտագործվել հետագա գործարքների համար՝ բարձրացնելով անվտանգությունը։
Եթե «TAN» ցուցակը վտանգված է, օգտվողը կարող է չեղարկել այն՝ տեղեկացնելով բանկին։

Չնայած իրենց արդյունավետությանը, «TAN»-երը ենթակա են ֆիշինգային հարձակումների, որտեղ օգտատերերը խաբվում են՝ բացահայտելով իրենց գաղտնաբառը/PIN-ը և մեկ կամ մի քանի «TAN»-եր խարդախությամբ զբաղվող անձանց։ Բացի այդ, նրանք չեն առաջարկում պաշտպանություն այնպիսի հարձակումներից, որտեղ հարձակվողները խարդախ գործարքների համար գաղտնալսում են «TAN» փոխանցումները։ Նման դեպքերում օգտատերերին խորհուրդ է տրվում անհապաղ միջոցներ ձեռնարկել, օրինակ՝ չեղյալ համարել խափանված «TAN» ցուցակը՝ ծանուցելով բանկին։

Ինդեքսավորված TAN (iTAN)[խմբագրել | խմբագրել կոդը]

Գործարքների նույնականացման ինդեքսավորված համարները (TAN) առաջարկում են անվտանգության լրացուցիչ շերտ առցանց բանկային գործերում՝ նվազեցնելով ֆիշինգի հարձակումների ռիսկը։ Ի տարբերություն ավանդական «TAN»-ների, որտեղ օգտատերերը ցանկից ընտրում են կամայական «TAN»-ները, ինդեքսավորված «TAN»-ները պահանջում են օգտվողներից մուտքագրել հատուկ «TAN», որը նույնացվում է հաջորդական համարով (ինդեքսով)։ Քանի որ ինդեքսը պատահականորեն նշանակվում է բանկի կողմից, հարձակվողի կողմից կամայական «TAN»-ի ձեռքբերումը դառնում է ապարդյուն, քանի որ այն չունի համապատասխան ցուցանիշ։

Չնայած իրենց առավելություններին, ինդեքսավորված «TAN»-ները դեռևս խոցելի են մարդ-միջին հարձակումների նկատմամբ, ներառյալ բարդ ֆիշինգի մարտավարությունը և մարդ-դիտարկիչի հարձակումները^[2] Այս սցենարներում հարձակվողներն օգտագործում են օգտատիրոջ համակարգի խոցելիությունը՝ առանց օգտատիրոջ իմացության գործարքները կանխելու կամ գործարքների մանրամասները շահարկելու համար^[3]։

Այս մտահոգությունները լուծելու համար Եվրոպական միության Ցանցերի և տեղեկատվական անվտանգության գործակալությունը 2012 թվականին առաջարկել է բանկերի անվտանգության լրացուցիչ միջոցներ։ Բանկերին խորհուրդ է տրվում գործել այն ենթադրության ներքո, որ օգտատերերի ԱՀ համակարգերը կարող են վարակված լինել չարամիտ ծրագրերով։ Այս նախաձեռնողական մոտեցումը ընդունում է տարածված սպառնալիքի լանդշաֆտը և ընդգծում է կայուն անվտանգության արձանագրությունների կարևորությունը։ Անվտանգության գործընթացների իրականացումը, որոնք թույլ են տալիս օգտատերերին խաչաձև ստուգել գործարքների տվյալները մանիպուլյացիաների դեմ, շատ կարևոր է։ Օրինակ, այնպիսի մեթոդներ, ինչպիսիք են բջջային գործարքների վավերացման համարները (mTAN) կամ ինտեգրված էկրաններով խելացի քարտերի ընթերցիչները (chipTAN) օգտատերերին հնարավորություն են տալիս ստուգել գործարքի մանրամասները նախքան «TAN» ստեղծելը^[4]։

Օգտատերերին հնարավորություն տալով ստուգել գործարքների տվյալները և ներառելով լրացուցիչ անվտանգության միջոցներ, ինչպիսիք են «mTAN»-ը կամ «chipTAN»-ը, բանկերը կարող են նվազեցնել չարտոնված գործարքների ռիսկը և բարձրացնել առցանց բանկային անվտանգության ընդհանուր անվտանգությունը։

Ինդեքսավորված TAN CAPTCHA-ով (iTANplus)[խմբագրել | խմբագրել կոդը]

Անվտանգությունը բարձրացնելու նպատակով որոշ բանկեր ներկայացրել են «iTAN» համակարգի մի տարբերակ, որը ներառում է «CAPTCHA»: Երբ օգտատերը գործարք է նախաձեռնում, նրան նախ ներկայացվում է «CAPTCHA»: «CAPTCHA»-ն նախատեսված է ցուցադրելու ոչ միայն բնորոշ աղավաղված տեքստը, այլ նաև որոշ լրացուցիչ տվյալներ, ինչպիսիք են գործարքի մանրամասները և օգտատիրոջ հատուկ տեղեկությունները, օրինակ՝ օգտատիրոջ ծննդյան ամսաթիվը։ Գործարքի մանրամասների և անձնական տվյալների ընդգրկումը նպատակ ունի դժվարացնել հարձակվողի համար կեղծ «CAPTCHA» ստեղծելը։ «CAPTCHA»-ները սովորաբար օգտագործվում են մարդկանց օգտագործողների և ավտոմատ համակարգերի (բոտերի) միջև տարբերակելու համար։ Այս համատեքստում այն ավելացնում է անվտանգության շերտ՝ դժվարացնելով ավտոմատացված սկրիպտների հաջողությամբ կեղծելը կամ շրջանցելը «CAPTCHA»-ն։

Այս «CAPTCHA»-ով բարելավված «iTAN» մեթոդի առաջնային նպատակն է նվազեցնել «MitM» հարձակումների ռիսկը։ «MitM» հարձակումները տեղի են ունենում, երբ հարձակվողը գաղտնալսում է օգտատիրոջ և բանկի միջև հաղորդակցությունը՝ պոտենցիալ փոխելով գործարքի մանրամասները կամ գրավելով զգայուն տեղեկատվություն։ պահանջելով «CAPTCHA», բանկը երաշխավորում է, որ օգտագործողը պետք է տեսողականորեն ստուգի և փոխազդի «CAPTCHA»-ի հետ, ինչը տեսականորեն պետք է նվազեցնի հարձակվողի կողմից հարձակումը հաջողությամբ ավտոմատացնելու հնարավորությունները։

Որոշ չինական բանկեր նույնպես կիրառել են «iTANplus»-ի նման «TAN» մեթոդ։ «iTANplus»-ը «iTAN»-ի ընդլայնված տարբերակն է, որն իր մեջ ներառում է անվտանգության լրացուցիչ միջոցներ, ներառյալ «CAPTCHA»-ները։ Վերջին հետազոտությունները ցույց են տվել, որ նույնիսկ այս «CAPTCHA»-ի վրա հիմնված TAN համակարգերը անխոհեմ չեն։ Մշակվել են առաջադեմ ավտոմատ հարձակումներ, որոնք դեռ կարող են վտանգել այս համակարգերը։ Ուսումնասիրությունը հուշում է, որ. չնայած «CAPTCHA»-ների կողմից տրամադրվող անվտանգության լրացուցիչ շերտին, այս համակարգերը մնում են խոցելի ավելի բարդ սպառնալիքների նկատմամբ։ Հարձակվողները կարող են օգտագործել առաջադեմ մեթոդներ, ինչպիսիք են մեքենայական ուսուցումը «CAPTCHA»-ները կոտրելու և խարդախ գործարքներ կատարելու համար^[5]^[6]։

Բջջային գործարքների վավերացման համար (mTAN)[խմբագրել | խմբագրել կոդը]

«MTAN»-ը տարածված մեթոդ է, որն օգտագործվում է տարբեր երկրների բանկերի կողմից՝ առցանց գործարքների իսկությունը հաստատելու համար։ Այս մեթոդն օգտագործող երկրներն են՝ Ավստրիան, Բուլղարիան, Չեխիան, Գերմանիան, Հունգարիան, Մալայզիան, Նիդեռլանդները, Լեհաստանը, Ռուսաստանը, Սինգապուրը, Հարավային Աֆրիկան, Իսպանիան, Շվեյցարիան և մի քանիսը Նոր Զելանդիայում, Ավստրալիայում, Մեծ Բրիտանիայում և Ուկրաինայում։

Oգտատերը գործարք է նախաձեռնում առցանց բանկինգի միջոցով։ Բանկը գործարքի համար ստեղծում է եզակի «TAN», «TAN»-ն ուղարկվում է օգտվողի գրանցված բջջային հեռախոսին «SMS»-ի միջոցով, «SMS»-ը կարող է ներառել գործարքի մանրամասները, որոնք օգտվողին հնարավորություն են տալիս ստուգել, որ գործարքի տեղեկատվությունը համապատասխանում է իր մտադրությանը, նախքան գործարքն ավարտելու համար բանկային կայքում «TAN» մուտք գործելը։

«mTAN» սխեմայի անվտանգությունը մեծապես հիմնված է բջջային հեռախոսի համակարգի անվտանգության վրա, մասնավորապես «SMS» հաղորդագրությունների առաքման և ամբողջականության վրա։ Ժամանակի ընթացքում ի հայտ են եկել մի քանի հարձակման վեկտորներ՝ օգտագործելով այս համակարգի թույլ կողմերը։ Հարավային Աֆրիկայում նկատելի խոցելիություն է «SIM»-ի փոխանակման խարդախությունը։ Հարձակվողները ներկայացնում են զոհին և համոզում բջջային ցանցի օպերատորին թողարկել փոխարինող «SIM» քարտ։

Հարձակվողը բավականաչափ անձնական տվյալներ է հավաքում զոհին անձնավորելու համար։ Հարձակվողը կապվում է բջջային ցանցի օպերատորի հետ և պահանջում նոր «SIM» քարտ՝ պնդելով, որ հինը կորել կամ վնասվել է։ Նոր «SIM» քարտով հարձակվողը ստանում է զոհի «SMS» հաղորդագրությունները, ներառյալ «mTAN»-երը^[7]։ Օգտագործելով նախկինում ձեռք բերված օգտանունները և գաղտնաբառերը (ֆիշինգի կամ ստեղնաշարի միջոցով) հարձակվողը սկսում է գործարքներ և դրանք ավարտելու համար օգտագործում է նոր «SIM»-ում ստացված «mTAN»-ները։ Տուժողը հաճախ գիտակցում է խարդախությունը միայն այն ժամանակ, երբ նկատում է, որ իր հեռախոսը կորցրել է ծառայությունը, և այդ ժամանակ միջոցները կարող են արդեն գողացվել։

2014 թվականին Թոբիաս Էնգելը ցույց տվեց SS7-ի (Ազդանշանային համակարգի թիվ 7 (SS7) խոցելիություն) զգալի թուլություն՝ «SMS» փոխանցման համար օգտագործվող արձանագրությունը, Քաոսի հաղորդակցության 31-րդ կոնգրեսում^[8]։ Այս թույլ կողմը հարձակվողներին թույլ է տալիս ընդհատել «SMS» հաղորդագրությունները։ 2017 թվականի սկզբին այս խոցելիությունն օգտագործվել է Գերմանիայում «mTAN» պարունակող «SMS» հաղորդագրությունները որսալու համար, ինչը հանգեցնում է կեղծ դրամական փոխանցումների^[9]։

Սմարթֆոնների հայտնվելով նոր տեսակի չարամիտ ծրագրեր են ի հայտ եկել, որոնք ուղղված են ինչպես համակարգիչների, այնպես էլ շարժական սարքերի վրա։ Չարամիտ ծրագիրը կարող է միաժամանակ վարակել օգտատիրոջ համակարգիչը և բջջային հեռախոսը` գաղտնալսելով առցանց բանկային հավատարմագրերը և գաղտնալսելով «SMS»-ի միջոցով ուղարկված «mTAN»-ները։ այս տեսակի չարամիտ ծրագրերը կարող են վերահսկել «SMS» հաղորդագրությունները, գողանալ «TAN»-ները և շահարկել գործարքների տվյալները՝ չթույլատրված գործարքները հեշտացնելու համար։

Թեև «mTAN»-ը առցանց գործարքների ապահովման լայնորեն կիրառվող մեթոդ է, դրա անվտանգությունը կախված է բջջային հեռախոսի համակարգի ամբողջականությունից։ «SIM»-ի փոխանակման խարդախությունը, SS7 արձանագրության խոցելիությունը և չարամիտ ծրագրերի բարդ հարձակումները կարևորում են զգալի ռիսկերը^[10]։ Օգտատերերը և բանկերը պետք է զգոն մնան և ընդունեն անվտանգության լրացուցիչ միջոցներ, ինչպիսիք են երկգործոն նույնականացման հավելվածները կամ ապարատային նշանները՝ այդ խոցելիությունները մեղմելու և գործարքների անվտանգությունը բարձրացնելու համար։

pushTAN[խմբագրել | խմբագրել կոդը]

«PushTAN»-ը նույնականացման առաջադեմ մեթոդ է, որը նախատեսված է «mTAN» սխեմայի սահմանափակումները հաղթահարելու համար, որը հիմնականում օգտագործվել է գերմանական Sparkassen բանկային խմբի կողմից և հետագայում ընդունվել «Deutsche Kreditbank»-ի (DKB) կողմից 2014 թվականի վերջին։ Այս հավելվածի վրա հիմնված «TAN» սխեման առաջարկում է նույնականացման ավելի ապահով և ծախսարդյունավետ համակարգ առցանց բանկային գործարքների նույնականացման արդյունավետ լուծում։

Ի տարբերություն «mTAN»-ի, «pushTAN»-ը չի հիմնվում «SMS» հաղորդագրություններ ուղարկելու վրա՝ դրանով իսկ վերացնելով «SMS»-ների առաքման հետ կապված ծախսերը։ «PushTAN» հաղորդագրություններն ուղարկվում են օգտատիրոջ սմարթֆոնի հատուկ տեքստային հաղորդագրությունների հավելվածի միջոցով։ Հաղորդագրությունները փոխանցվում են գաղտնագրված ինտերնետային կապի միջոցով, ինչը նրանց անվտանգ է դարձնում «SIM» փոխանակման խարդախությունից և գաղտնալսումից։ «mTAN»-ի նման, «pushTAN»-ը թույլ է տալիս օգտվողներին ստուգել գործարքի մանրամասները։ «PushTAN» հաղորդագրությունը ներառում է բանկի կողմից ստացված գործարքի մասին տեղեկատվությունը, որը օգտվողներին հնարավորություն է տալիս համոզվել, որ թաքնված մանիպուլյացիաներ չեն եղել։

Չնայած «pushTAN»-ն առաջարկում է ուժեղացված անվտանգություն, այն ընդունում է զուգահեռ չարամիտ վարակների հնարավոր ռիսկը և՛ համակարգչի, և՛ սմարթֆոնի վրա։ Ռիսկը մեղմելու համար «pushTAN» հավելվածը նախագծված է դադարեցնել իր աշխատանքը, եթե շարժական սարքը արմատավորված է (Android) կամ «jailbroken» (iOS)^[11]։ Այս պայմանները սովորաբար ցույց են տալիս սարքի վրա վտանգված անվտանգության միջավայրը, ինչը մեծացնում է խոցելիությունը չարամիտ ծրագրերի նկատմամբ։ «PushTAN» հաղորդագրությունները առաքվում են գաղտնագրված ինտերնետային կապի, այլ ոչ թե ավանդական «SMS»-ի միջոցով, որն ավելացնում է անվտանգության շերտ՝ պաշտպանելով հաղորդագրությունները գաղտնալսումից։ «PushTAN»-ն ընդունվել է 2014-ի վերջին՝ ճանաչելով դրա առավելությունները «mTAN»-ի նկատմամբ^[12]։

Այսպիսով՝ «pushTAN»-ը զգալի առաջընթաց է առցանց բանկային գործարքների վավերացման գործում։ Այն լուծում է «mTAN»-ի հետ կապված բազմաթիվ խոցելիություններ, ինչպիսիք են «SIM»-ի փոխանակման խարդախությունը և «SMS» գաղտնալսումը, օգտագործելով գաղտնագրված ինտերնետ կապը և հատուկ հաղորդագրությունների հավելվածը։ Չնայած այն ընդունում է զուգահեռ չարամիտ վարակների հավանական ռիսկը, սարքի ամբողջականության ստուգումների իրականացումը ապահովում է անվտանգության ավելի բարձր մակարդակ։ Սա «pushTAN»-ը դարձնում է ամուր և ծախսարդյունավետ այլընտրանք առցանց բանկային անվտանգ գործարքների համար։

TAN գեներատորներ[խմբագրել | խմբագրել կոդը]

Պարզագույն TAN գեներատորներ[խմբագրել | խմբագրել կոդը]

Անվտանգության նշանները սարքեր են, որոնք արագորեն ստեղծում են Գործարքների վավերացման համարներ (TAN): Այս նշանները գաղտնիք են պահում, որը կիսվում է նշանի և բանկի միջև։ Երբ օգտատերը պետք է վավերացնի գործարքը, նշանը ստեղծում է եզակի «TAN»՝ հիմնված այս գաղտնիքի վրա։ Անվտանգության նշանների երկու հիմնական տեսակ կա. անվտանգության ինքնուրույն նշաններ- սրանք հատուկ սարքեր են, որոնք ստեղծում են TAN-ներ և խելացի քարտերի վրա հիմնված նշաններ, որոնք ներառում են խելացի քարտի տեղադրում նշան ընթերցողի մեջ՝ «TAN»-եր ստեղծելու համար։

Անվտանգության նշանների առավելություններն են՝ յուրաքանչյուր «TAN» ստեղծվում է գործարքի պահին՝ նվազեցնելով «TAN»-երի ստատիկ ցանկի վտանգը։ «TAN»-եր ստեղծելու համար օգտագործվող գաղտնիքը ապահով կերպով պահվում է նշանի կամ խելացի քարտի ներսում, ինչը հարձակվողների համար դժվարացնում է այն հանելը։ Անվտանգության նշանների սահմանափակումներից են այն, որ նշանի կողմից ստեղծված «TAN»-ը կապված չէ գործարքի կոնկրետ մանրամասների հետ։ Սա նշանակում է, որ նույն «TAN»-ը տեսականորեն կարող է օգտագործվել որոշակի ժամկետում ներկայացված ցանկացած գործարքի համար։ Եթե հարձակվողը խաբում է օգտատիրոջը, որպեսզի ֆիշինգի միջոցով տրամադրի «TAN», հարձակվողը կարող է օգտագործել այս «TAN»-ը մեկ այլ գործարքի իսկությունը հաստատելու համար։ Քանի որ «TAN»-ը կապված չէ գործարքի կոնկրետ մանրամասների հետ, բանկը այն կընդունի որպես վավեր ցանկացած գործարքի համար։

Թեև անվտանգության նշանները զգալիորեն նվազեցնում են «TAN»-ի ամբողջ ցանկը խախտելու ռիսկը, անհրաժեշտ են լրացուցիչ միջոցներ՝ ֆիշինգի և «MitM» հարձակումների ռիսկերը մեղմելու համար։

ChipTAN / Sm@rt-TAN / CardTAN[խմբագրել | խմբագրել կոդը]

«ChipTAN»-ը, որը նաև հայտնի է որպես «Sm@rt-TAN» Գերմանիայում և «CardTAN» Ավստրիայում^[13]^[14]^[15]^[16] գործարքների նույնականացման սխեմա է, որն օգտագործվում է գերմանական և ավստրիական շատ բանկերի կողմից։ Այն օգտագործում է ապարատային սարք, որը կոչվում է «TAN» գեներատոր և բանկային քարտ՝ յուրաքանչյուր գործարքի համար հատուկ գործարքների վավերացման համարներ (TAN) ստեղծելու համար^[17]։

«ChipTAN» գեներատորը կապված չէ որևէ կոնկրետ հաշվի հետ։ Օգտագործողները պետք է իրենց բանկային քարտը տեղադրեն գեներատորի մեջ՝ այն օգտագործելու համար։ ստեղծված «TAN»-ը հատուկ է բանկային քարտին և գործարքի մանրամասներին, ապահովելով, որ յուրաքանչյուր «TAN»-ը եզակի է որոշակի գործարքի համար։

Գոյություն ունի երկու տարբերակ. այս ավելի հին տարբերակում օգտվողները ձեռքով մուտքագրում են գործարքի մանրամասները (օրինակ՝ գումարը և հաշվի համարը) «TAN» գեներատորում։ Այնուհետև գեներատորը ցուցադրում է այս մանրամասները օգտվողի հաստատման համար՝ նախքան «TAN»-ը ստեղծելը։ ժամանակակից տարբերակում օգտատերը գործարքը սկսում է առցանց։ «TAN» գեներատորը կարդում է գործարքի մանրամասները համակարգչի էկրանին ցուցադրվող թարթող շտրիխ կոդի միջոցով՝ օգտագործելով ֆոտոդետեկտորները։ Այնուհետև մանրամասները ցուցադրվում են գեներատորի էկրանին՝ օգտատիրոջ հաստատման համար, նախքան«TAN»-ի ստեղծումը։

«ChipTAN» գեներատորն աշխատում է օգտատիրոջ համակարգչից անկախ։ Սա նշանակում է, որ այն խոցելի չէ չարամիտ ծրագրերի համար, որոնք կարող են առկա լինել համակարգչում։ «TAN» գեներատորը համակարգչի հետ հաղորդակցվում է միայն պարզ օպտիկական ալիքի միջոցով, որն իր էությամբ ապահով է թվային հարձակումներից։ Գործարքի մանրամասները ցուցադրվում են «TAN» գեներատորի էկրանին, ինչը թույլ է տալիս օգտվողին հաստատել դրանք նախքան «TAN»-ի ստեղծումը։ Սա խանգարում է հարձակվողներին փոփոխել գործարքի մանրամասները օգտատերի կողմից դրանք հաստատելուց հետո։ Քանի որ «TAN» գեներատորը գործելու համար պահանջում է բանկային քարտ, այն կարող է օգտագործվել տարբեր բանկերի բազմաթիվ հաշիվներով։ Գեներատորի կորուստը անվտանգության վտանգ չի ներկայացնում, քանի որ անվտանգության կարևոր տեղեկատվությունը պահվում է հենց բանկային քարտի վրա։

Հարձակվողները կարող են փորձել խաբել օգտատերերին՝ թույլ տալով կեղծ փոխանցումները՝ պնդելով, որ նրանք բանկից են և պահանջելով «փորձնական փոխանցում» կամ նշելով, որ սխալ փոխանցումը պետք է «վերադարձվի»^[2]^[18]։ Օգտատերերը երբեք չպետք է լիազորեն այն գործարքները, որոնք իրենք չեն նախաձեռնել։ Կրթությունը և իրազեկումը կարևոր նշանակություն ունեն սոցիալական ինժեներական հարձակումները կանխելու համար։

Խմբաքանակով փոխանցումների համար (Sammelüberweisungen) «TAN» գեներատորը ցուցադրում է միայն փոխանցումների քանակը և ընդհանուր գումարը, այլ ոչ թե առանձին գործարքների մանրամասները։ Սա հեշտացնում է հարձակվողների համար խմբաքանակով փոխանցումները առանց հայտնաբերման շահարկելը^[19]։ 2009 թվականի նոյեմբերին «RedTeam Pentesting»-ը ընդգծեց այս խոցելիությունը^[20]։ Որպես պատասխան՝ որոշ բանկեր հարմարեցրեցին իրենց համակարգերը՝ մեկ ռեկորդային խմբաքանակային փոխանցումներն իրականացնելու համար որպես անհատական փոխանցումներ՝ բարելավելով անվտանգությունը։

Ծանոթագրություններ[խմբագրել | խմբագրել կոդը]

↑ «Transaction Authentication Number (TAN)». Fraud.net (ամերիկյան անգլերեն). Վերցված է 2023 թ․ դեկտեմբերի 14-ին.
↑ ^2,0 ^2,1 Candid Wüest, Symantec Global Security Response Team Current Advances in Banking Trojans? Արխիվացված 2014-04-25 Wayback Machine iriss.ie, Irish Reporting and Information Security Service, December 2, 2012 (PDF; 1,9 MB)
↑ Katusha: LKA zerschlägt Ring von Online-Betrügern WinFuture.de, October 29, 2010
↑ “High Roller” online bank robberies reveal security gaps European Union Agency for Network and Information Security, July 5, 2012
↑ heise online (2007 թ․ հոկտեմբերի 26). «Verbessertes iTAN-Verfahren soll vor Manipulationen durch Trojaner schützen» (գերմաներեն).
↑ Li, Shujun; Syed Amier Haider Shah; Muhammad Asad Usman Khan; Syed Ali Khayam; Ahmad-Reza Sadeghi; Roland Schmitz (2010). «Breaking e-Banking CAPTCHAs». Proceedings of 26th Annual Computer Security Applications Conference (ACSAC 2010). New York, NY, USA: ACM. էջեր 171–180. doi:10.1145/1920261.1920288. Արխիվացված է օրիգինալից 2016 թ․ մարտի 13-ին. Վերցված է 2024 թ․ մայիսի 21-ին.
↑ Victim's SIM swop fraud nightmare iol.co.za, Independent Online, January 12, 2008
↑ «31C3: Mobilfunk-Protokoll SS7 offen wie ein Scheunentor» (գերմաներեն). 2014 թ․ դեկտեմբերի 28.
↑ Fabian A. Scherschel (2017 թ․ մայիսի 3). «Deutsche Bankkonten über UMTS-Sicherheitslücken ausgeräumt» (գերմաներեն).
↑ Eurograbber SMS Trojan steals €36 million from online banks Արխիվացված 2014-04-25 Wayback Machine techworld.com, December 5, 2012
↑ Online-Banking mit pushTAN - FAQ berliner-sparkasse.de, Berliner Sparkasse (AöR), Retrieved on August 27, 2014.
↑ Informationen zu pushTAN dkb.de, Deutsche Kreditbank AG, Retrieved on March 12, 2015.
↑ Postbank chipTAN official page of Postbank, Retrieved on April 10, 2014.
↑ chipTAN: Listen werden überflüssig official page of Sparkasse, Retrieved on April 10, 2014.
↑ Die cardTAN official page of Raiffeisen Bankengruppe Österreich, Retrieved on April 10, 2014.
↑ «Sm@rt-TAN». www.vr-banking-app.de (գերմաներեն). Վերցված է 2018 թ․ հոկտեմբերի 10-ին.
↑ Die neue cardTAN ebankingsicherheit.at, Gemalto N.V., Retrieved on October 22, 2014.
↑ Tatanga Attack Exposes chipTAN Weaknesses trusteer.com, September 4, 2012
↑ «chipTAN-Verfahren / Was wird im TAN-Generator angezeigt?» (PDF). Sparkasse Neckartal-Odenwald. 2013 թ․ հունիս. Վերցված է 2014 թ․ դեկտեմբերի 1-ին. «SEPA-Sammelüberweisung, Inhalt: mehr als 1 Posten. Anzeige 1: Summe, Anzeige 2: Anzahl Posten»
↑ «Man-in-the-Middle Attacks against the chipTAN comfort Online Banking System». RedTeam Pentesting GmbH. Վերցված է 2014 թ․ դեկտեմբերի 1-ին.

Վիքիպահեստն ունի նյութեր, որոնք վերաբերում են «Գործարքների նույնականացման համարներ» հոդվածին։

[1] «Transaction Authentication Number (TAN)». Fraud.net (ամերիկյան անգլերեն). Վերցված է 2023 թ․ դեկտեմբերի 14-ին.

[symantec-2] 2,0 ^2,1 Candid Wüest, Symantec Global Security Response Team Current Advances in Banking Trojans? Արխիվացված 2014-04-25 Wayback Machine iriss.ie, Irish Reporting and Information Security Service, December 2, 2012 (PDF; 1,9 MB)

[3] Katusha: LKA zerschlägt Ring von Online-Betrügern WinFuture.de, October 29, 2010

[4] “High Roller” online bank robberies reveal security gaps European Union Agency for Network and Information Security, July 5, 2012

[5] se online (2007 թ․ հոկտեմբերի 26). «Verbessertes iTAN-Verfahren soll vor Manipulationen durch Trojaner schützen» (գերմաներեն).

[6] Li, Shujun; Syed Amier Haider Shah; Muhammad Asad Usman Khan; Syed Ali Khayam; Ahmad-Reza Sadeghi; Roland Schmitz (2010). «Breaking e-Banking CAPTCHAs». Proceedings of 26th Annual Computer Security Applications Conference (ACSAC 2010). New York, NY, USA: ACM. էջեր 171–180. doi:10.1145/1920261.1920288. Արխիվացված է օրիգինալից 2016 թ․ մարտի 13-ին. Վերցված է 2024 թ․ մայիսի 21-ին.

[7] Victim's SIM swop fraud nightmare iol.co.za, Independent Online, January 12, 2008

[8] «31C3: Mobilfunk-Protokoll SS7 offen wie ein Scheunentor» (գերմաներեն). 2014 թ․ դեկտեմբերի 28.

[9] Fabian A. Scherschel (2017 թ․ մայիսի 3). «Deutsche Bankkonten über UMTS-Sicherheitslücken ausgeräumt» (գերմաներեն).

[10] Eurograbber SMS Trojan steals €36 million from online banks Արխիվացված 2014-04-25 Wayback Machine techworld.com, December 5, 2012

[11] Online-Banking mit pushTAN - FAQ berliner-sparkasse.de, Berliner Sparkasse (AöR), Retrieved on August 27, 2014.

[12] Informationen zu pushTAN dkb.de, Deutsche Kreditbank AG, Retrieved on March 12, 2015.

[13] Postbank chipTAN official page of Postbank, Retrieved on April 10, 2014.

[14] TAN: Listen werden überflüssig official page of Sparkasse, Retrieved on April 10, 2014.

[15] Die cardTAN official page of Raiffeisen Bankengruppe Österreich, Retrieved on April 10, 2014.

[16] «Sm@rt-TAN». www.vr-banking-app.de (գերմաներեն). Վերցված է 2018 թ․ հոկտեմբերի 10-ին.

[17] Die neue cardTAN ebankingsicherheit.at, Gemalto N.V., Retrieved on October 22, 2014.

[18] Tatanga Attack Exposes chipTAN Weaknesses trusteer.com, September 4, 2012

[19] «chipTAN-Verfahren / Was wird im TAN-Generator angezeigt?» (PDF). Sparkasse Neckartal-Odenwald. 2013 թ․ հունիս. Վերցված է 2014 թ․ դեկտեմբերի 1-ին. «SEPA-Sammelüberweisung, Inhalt: mehr als 1 Posten. Anzeige 1: Summe, Anzeige 2: Anzahl Posten»

[20] «Man-in-the-Middle Attacks against the chipTAN comfort Online Banking System». RedTeam Pentesting GmbH. Վերցված է 2014 թ․ դեկտեմբերի 1-ին.

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

[10]

[11]

[12]

[13]

[14]

[15]

[16]

[17]

[18]

[19]

[20]