Մասնակից:Tatev99/Ավազարկղ46
Գործարքների նույնականացման համարները (TAN-եր) ծառայում են որպես առցանց բանկային գործունեության կարևորագույն անվտանգության միջոց, որն առաջարկում է պաշտպանության մի շերտ, բացի ավանդական գաղտնաբառի նույնականացումից: Այս «TAN»-երը գործում են որպես մեկանգամյա օգտագործման, մեկանգամյա գաղտնաբառեր (OTP), որոնք ապահովում են անվտանգության լրացուցիչ մակարդակ ֆինանսական գործարքները թույլատրելու համար: «TAN»-երի առաջնային նպատակն է իրականացնել երկու գործոն նույնականացում (2FA), դրանով իսկ ամրապնդելով առցանց բանկային գործարքների անվտանգությունը: «TAN»-երը լրացնում են ավանդական օգտանունների և գաղտնաբառի մուտքի գործընթացը՝ նույնականացման լրացուցիչ քայլով: Այս դեպքում գործարքն ավարտելու համար անհրաժեշտ է ունենալ և՛ մուտքի հավատարմագրերը (օգտանուն/գաղտնաբառ), և՛ «TAN»-ը: Այս կրկնակի նույնականացման գործընթացը զգալիորեն նվազեցնում է չարտոնված մուտքի վտանգը:
«TAN»-երը ստեղծվում են նաև մեկանգամյա օգտագործման նպատակներով, ինչը նշանակում է, որ յուրաքանչյուր «TAN»-ը կարող է օգտագործվել միայն մեկ անգամ՝ որոշակի գործարք թույլատրելու համար: Սա կանխում է չարտոնված անձանց խարդախության համար «TAN»-երի գաղտնալսումը և վերօգտագործումը:
«TAN»-երն առաջարկում են անվտանգության կայուն միջոցներ տարբեր սպառնալիքներից: Եթե «TAN»-եր պարունակող ֆիզիկական փաստաթուղթը կամ նշանը գողացվել է, այն մնում է անարդյունավետ՝ առանց համապատասխան մուտքի հավատարմագրերի (օգտանուն/գաղտնաբառ): Նմանապես, նույնիսկ եթե մուտքի հավատարմագրերը վտանգված են, հանցագործները չեն կարող գործարքներ կատարել առանց վավեր «TAN»-ի՝ բարձրացնելով հաշվի ընդհանուր անվտանգությունը:
«TAN»-երը կարող են առաքվել տարբեր միջոցների միջոցով, ներառյալ SMS-ը, էլ.փոստը կամ նույնականացման հատուկ սարքերը: Այս բազմակողմանիությունը թույլ է տալիս բանկերին սպասարկել հաճախորդների տարբեր նախասիրությունները՝ պահպանելով անվտանգության խիստ չափանիշները:
Ներգրավելով «TAN»-երն իրենց առցանց բանկային համակարգերում՝ ֆինանսական հաստատությունները կարող են ամրապնդել իրենց անվտանգության արձանագրությունները և հաճախորդների շրջանում ավելի մեծ վստահություն սերմանել իրենց ֆինանսական գործարքների անվտանգության վերաբերյալ: Քանի որ կիբեր սպառնալիքները շարունակում են զարգանալ, «TAN»-երը կենսական դեր են խաղում զգայուն բանկային տեղեկատվության պաշտպանության և չարտոնված մուտքի և խարդախ գործողությունների կանխման գործում:
Դասական TAN[խմբագրել | խմբագրել կոդը]
TAN-ները հաճախ գործում են հետևյալ կերպ.
- Բանկը օգտատիրոջ համար ստեղծում է եզակի «TAN»-երի հավաքածու, որը սովորաբար բաղկացած է ցուցակում տպված 50 «TAN»-ից[1]։ Յուրաքանչյուր «TAN»-ը վեց կամ ութանիշ այբբենական կոդ է, որն ապահովում է բավարար պաշար նորմալ օգտագործման համար որոշակի ժամանակահատվածի համար, օրինակ՝ վեց ամիս:
- Օգտատերը ստանում է «TAN» ցուցակը մոտակա բանկի մասնաճյուղից՝ ներկայացնելով համապատասխան նույնականացման փաստաթղթեր, ինչպիսիք են անձնագիրը կամ ID քարտը: Որպես այլընտրանք, «TAN» ցուցակը կարող է ուղարկվել օգտվողին փոստով:
- Գաղտնաբառը (PIN) փոստով ուղարկվում է առանձին:
- Իր հաշիվ մուտք գործելու համար օգտատերը մուտքագրում է իր օգտանունը (հաճախ հաշվի համարը) և գաղտնաբառը (PIN): Սա թույլ է տալիս մուտք գործել հաշվի տեղեկատվությունը դիտելու համար, սակայն գործարքների մշակման հնարավորություններն այս փուլում անջատված են:
- Գործարք սկսելիս օգտատերը ներկայացնում է հարցումը և թույլատրում այն՝ ցուցակից մուտքագրելով չօգտագործված «TAN»: Բանկը ստուգում է ներկայացված «TAN»-ը թողարկված ցուցակի համեմատ: Եթե «TAN»-ը համընկնում է, գործարքը մշակվում է. հակառակ դեպքում մերժվում է։
- ուրաքանչյուր «TAN»-ը մեկանգամյա օգտագործման է, ինչը նշանակում է, որ գործարքի համար օգտագործելուց հետո այն դառնում է անվավեր: Սա երաշխավորում է, որ «TAN»-երը չեն կարող կրկին օգտագործվել հետագա գործարքների համար՝ բարձրացնելով անվտանգությունը:
- Եթե «TAN» ցուցակը վտանգված է, օգտվողը կարող է չեղարկել այն՝ տեղեկացնելով բանկին:
Չնայած իրենց արդյունավետությանը, «TAN»-երը ենթակա են ֆիշինգային հարձակումների, որտեղ օգտատերերը խաբվում են՝ բացահայտելով իրենց գաղտնաբառը/PIN-ը և մեկ կամ մի քանի «TAN»-եր խարդախությամբ զբաղվող անձանց: Բացի այդ, նրանք չեն առաջարկում պաշտպանություն այնպիսի հարձակումներից, որտեղ հարձակվողները խարդախ գործարքների համար գաղտնալսում են «TAN» փոխանցումները: Նման դեպքերում օգտատերերին խորհուրդ է տրվում անհապաղ միջոցներ ձեռնարկել, օրինակ՝ չեղյալ համարել խափանված «TAN» ցուցակը՝ ծանուցելով բանկին:
Ինդեքսավորված TAN (iTAN)[խմբագրել | խմբագրել կոդը]
Գործարքների նույնականացման ինդեքսավորված համարները (TAN) առաջարկում են անվտանգության լրացուցիչ շերտ առցանց բանկային գործերում՝ նվազեցնելով ֆիշինգի հարձակումների ռիսկը: Ի տարբերություն ավանդական «TAN»-ների, որտեղ օգտատերերը ցանկից ընտրում են կամայական «TAN»-ները, ինդեքսավորված «TAN»-ները պահանջում են օգտվողներից մուտքագրել հատուկ «TAN», որը նույնացվում է հաջորդական համարով (ինդեքսով): Քանի որ ինդեքսը պատահականորեն նշանակվում է բանկի կողմից, հարձակվողի կողմից կամայական «TAN»-ի ձեռքբերումը դառնում է ապարդյուն, քանի որ այն չունի համապատասխան ցուցանիշ:
Չնայած իրենց առավելություններին, ինդեքսավորված «TAN»-ները դեռևս խոցելի են մարդ-միջին հարձակումների նկատմամբ, ներառյալ բարդ ֆիշինգի մարտավարությունը և մարդ-դիտարկիչի հարձակումները[2] Այս սցենարներում հարձակվողներն օգտագործում են օգտատիրոջ համակարգի խոցելիությունը՝ առանց օգտատիրոջ իմացության գործարքները կանխելու կամ գործարքների մանրամասները շահարկելու համար[3]։
Այս մտահոգությունները լուծելու համար Եվրոպական միության Ցանցերի և տեղեկատվական անվտանգության գործակալությունը 2012 թվականին առաջարկել է բանկերի անվտանգության լրացուցիչ միջոցներ։ Բանկերին խորհուրդ է տրվում գործել այն ենթադրության ներքո, որ օգտատերերի ԱՀ համակարգերը կարող են վարակված լինել չարամիտ ծրագրերով: Այս նախաձեռնողական մոտեցումը ընդունում է տարածված սպառնալիքի լանդշաֆտը և ընդգծում է կայուն անվտանգության արձանագրությունների կարևորությունը: Անվտանգության գործընթացների իրականացումը, որոնք թույլ են տալիս օգտատերերին խաչաձև ստուգել գործարքների տվյալները մանիպուլյացիաների դեմ, շատ կարևոր է: Օրինակ, այնպիսի մեթոդներ, ինչպիսիք են բջջային գործարքների վավերացման համարները (mTAN) կամ ինտեգրված էկրաններով խելացի քարտերի ընթերցիչները (chipTAN) օգտատերերին հնարավորություն են տալիս ստուգել գործարքի մանրամասները նախքան «TAN» ստեղծելը[4]։
Օգտատերերին հնարավորություն տալով ստուգել գործարքների տվյալները և ներառելով լրացուցիչ անվտանգության միջոցներ, ինչպիսիք են «mTAN»-ը կամ «chipTAN»-ը, բանկերը կարող են նվազեցնել չարտոնված գործարքների ռիսկը և բարձրացնել առցանց բանկային անվտանգության ընդհանուր անվտանգությունը:
Ինդեքսավորված TAN CAPTCHA-ով (iTANplus)[խմբագրել | խմբագրել կոդը]
Անվտանգությունը բարձրացնելու նպատակով որոշ բանկեր ներկայացրել են «iTAN» համակարգի մի տարբերակ, որը ներառում է «CAPTCHA»: Երբ օգտատերը գործարք է նախաձեռնում, նրան նախ ներկայացվում է «CAPTCHA»: «CAPTCHA»-ն նախատեսված է ցուցադրելու ոչ միայն բնորոշ աղավաղված տեքստը, այլ նաև որոշ լրացուցիչ տվյալներ, ինչպիսիք են գործարքի մանրամասները և օգտատիրոջ հատուկ տեղեկությունները, օրինակ՝ օգտատիրոջ ծննդյան ամսաթիվը: Գործարքի մանրամասների և անձնական տվյալների ընդգրկումը նպատակ ունի դժվարացնել հարձակվողի համար կեղծ «CAPTCHA» ստեղծելը: «CAPTCHA»-ները սովորաբար օգտագործվում են մարդկանց օգտագործողների և ավտոմատ համակարգերի (բոտերի) միջև տարբերակելու համար: Այս համատեքստում այն ավելացնում է անվտանգության շերտ՝ դժվարացնելով ավտոմատացված սկրիպտների հաջողությամբ կեղծելը կամ շրջանցելը «CAPTCHA»-ն:
Այս «CAPTCHA»-ով բարելավված «iTAN» մեթոդի առաջնային նպատակն է նվազեցնել «MitM» հարձակումների ռիսկը: «MitM» հարձակումները տեղի են ունենում, երբ հարձակվողը գաղտնալսում է օգտատիրոջ և բանկի միջև հաղորդակցությունը՝ պոտենցիալ փոխելով գործարքի մանրամասները կամ գրավելով զգայուն տեղեկատվություն: պահանջելով «CAPTCHA», բանկը երաշխավորում է, որ օգտագործողը պետք է տեսողականորեն ստուգի և փոխազդի «CAPTCHA»-ի հետ, ինչը տեսականորեն պետք է նվազեցնի հարձակվողի կողմից հարձակումը հաջողությամբ ավտոմատացնելու հնարավորությունները:
Որոշ չինական բանկեր նույնպես կիրառել են «iTANplus»-ի նման «TAN» մեթոդ: «iTANplus»-ը «iTAN»-ի ընդլայնված տարբերակն է, որն իր մեջ ներառում է անվտանգության լրացուցիչ միջոցներ, ներառյալ «CAPTCHA»-ները: Վերջին հետազոտությունները ցույց են տվել, որ նույնիսկ այս «CAPTCHA»-ի վրա հիմնված TAN համակարգերը անխոհեմ չեն: Մշակվել են առաջադեմ ավտոմատ հարձակումներ, որոնք դեռ կարող են վտանգել այս համակարգերը: Ուսումնասիրությունը հուշում է, որ. չնայած «CAPTCHA»-ների կողմից տրամադրվող անվտանգության լրացուցիչ շերտին, այս համակարգերը մնում են խոցելի ավելի բարդ սպառնալիքների նկատմամբ: Հարձակվողները կարող են օգտագործել առաջադեմ մեթոդներ, ինչպիսիք են մեքենայական ուսուցումը «CAPTCHA»-ները կոտրելու և խարդախ գործարքներ կատարելու համար[5] [6]։
Բջջային գործարքների վավերացման համար (mTAN)[խմբագրել | խմբագրել կոդը]
«MTAN»-ը տարածված մեթոդ է, որն օգտագործվում է տարբեր երկրների բանկերի կողմից՝ առցանց գործարքների իսկությունը հաստատելու համար: Այս մեթոդն օգտագործող երկրներն են՝ Ավստրիան, Բուլղարիան, Չեխիան, Գերմանիան, Հունգարիան, Մալայզիան, Նիդեռլանդները, Լեհաստանը, Ռուսաստանը, Սինգապուրը, Հարավային Աֆրիկան, Իսպանիան, Շվեյցարիան և մի քանիսը Նոր Զելանդիայում, Ավստրալիայում, Մեծ Բրիտանիայում և Ուկրաինայում:
Oգտատերը գործարք է նախաձեռնում առցանց բանկինգի միջոցով: Բանկը գործարքի համար ստեղծում է եզակի «TAN», «TAN»-ն ուղարկվում է օգտվողի գրանցված բջջային հեռախոսին «SMS»-ի միջոցով, «SMS»-ը կարող է ներառել գործարքի մանրամասները, որոնք օգտվողին հնարավորություն են տալիս ստուգել, որ գործարքի տեղեկատվությունը համապատասխանում է իր մտադրությանը, նախքան գործարքն ավարտելու համար բանկային կայքում «TAN» մուտք գործելը:
«mTAN» սխեմայի անվտանգությունը մեծապես հիմնված է բջջային հեռախոսի համակարգի անվտանգության վրա, մասնավորապես «SMS» հաղորդագրությունների առաքման և ամբողջականության վրա: Ժամանակի ընթացքում ի հայտ են եկել մի քանի հարձակման վեկտորներ՝ օգտագործելով այս համակարգի թույլ կողմերը: Հարավային Աֆրիկայում նկատելի խոցելիություն է «SIM»-ի փոխանակման խարդախությունը: Հարձակվողները ներկայացնում են զոհին և համոզում բջջային ցանցի օպերատորին թողարկել փոխարինող «SIM» քարտ։
Հարձակվողը բավականաչափ անձնական տվյալներ է հավաքում զոհին անձնավորելու համար: Հարձակվողը կապվում է բջջային ցանցի օպերատորի հետ և պահանջում նոր «SIM» քարտ՝ պնդելով, որ հինը կորել կամ վնասվել է: Նոր «SIM» քարտով հարձակվողը ստանում է զոհի «SMS» հաղորդագրությունները, ներառյալ «mTAN»-երը[7]: Օգտագործելով նախկինում ձեռք բերված օգտանունները և գաղտնաբառերը (ֆիշինգի կամ ստեղնաշարի միջոցով) հարձակվողը սկսում է գործարքներ և դրանք ավարտելու համար օգտագործում է նոր «SIM»-ում ստացված «mTAN»-ները: Տուժողը հաճախ գիտակցում է խարդախությունը միայն այն ժամանակ, երբ նկատում է, որ իր հեռախոսը կորցրել է ծառայությունը, և այդ ժամանակ միջոցները կարող են արդեն գողացվել:
2014 թվականին Թոբիաս Էնգելը ցույց տվեց SS7-ի (Ազդանշանային համակարգի թիվ 7 (SS7) խոցելիություն) զգալի թուլություն՝ «SMS» փոխանցման համար օգտագործվող արձանագրությունը, Քաոսի հաղորդակցության 31-րդ կոնգրեսում[8]: Այս թույլ կողմը հարձակվողներին թույլ է տալիս ընդհատել «SMS» հաղորդագրությունները: 2017 թվականի սկզբին այս խոցելիությունն օգտագործվել է Գերմանիայում «mTAN» պարունակող «SMS» հաղորդագրությունները որսալու համար, ինչը հանգեցնում է կեղծ դրամական փոխանցումների[9]:
Սմարթֆոնների հայտնվելով նոր տեսակի չարամիտ ծրագրեր են ի հայտ եկել, որոնք ուղղված են ինչպես համակարգիչների, այնպես էլ շարժական սարքերի վրա: Չարամիտ ծրագիրը կարող է միաժամանակ վարակել օգտատիրոջ համակարգիչը և բջջային հեռախոսը` գաղտնալսելով առցանց բանկային հավատարմագրերը և գաղտնալսելով «SMS»-ի միջոցով ուղարկված «mTAN»-ները: այս տեսակի չարամիտ ծրագրերը կարող են վերահսկել «SMS» հաղորդագրությունները, գողանալ «TAN»-ները և շահարկել գործարքների տվյալները՝ չթույլատրված գործարքները հեշտացնելու համար:
Թեև «mTAN»-ը առցանց գործարքների ապահովման լայնորեն կիրառվող մեթոդ է, դրա անվտանգությունը կախված է բջջային հեռախոսի համակարգի ամբողջականությունից: «SIM»-ի փոխանակման խարդախությունը, SS7 արձանագրության խոցելիությունը և չարամիտ ծրագրերի բարդ հարձակումները կարևորում են զգալի ռիսկերը[10]: Օգտատերերը և բանկերը պետք է զգոն մնան և ընդունեն անվտանգության լրացուցիչ միջոցներ, ինչպիսիք են երկգործոն նույնականացման հավելվածները կամ ապարատային նշանները՝ այդ խոցելիությունները մեղմելու և գործարքների անվտանգությունը բարձրացնելու համար:
pushTAN[խմբագրել | խմբագրել կոդը]
«PushTAN»-ը նույնականացման առաջադեմ մեթոդ է, որը նախատեսված է «mTAN» սխեմայի սահմանափակումները հաղթահարելու համար, որը հիմնականում օգտագործվել է գերմանական Sparkassen բանկային խմբի կողմից և հետագայում ընդունվել «Deutsche Kreditbank»-ի (DKB) կողմից 2014 թվականի վերջին: Այս հավելվածի վրա հիմնված «TAN» սխեման առաջարկում է նույնականացման ավելի ապահով և ծախսարդյունավետ համակարգ առցանց բանկային գործարքների նույնականացման արդյունավետ լուծում:
Ի տարբերություն «mTAN»-ի, «pushTAN»-ը չի հիմնվում «SMS» հաղորդագրություններ ուղարկելու վրա՝ դրանով իսկ վերացնելով «SMS»-ների առաքման հետ կապված ծախսերը։ «PushTAN» հաղորդագրություններն ուղարկվում են օգտատիրոջ սմարթֆոնի հատուկ տեքստային հաղորդագրությունների հավելվածի միջոցով։ Հաղորդագրությունները փոխանցվում են գաղտնագրված ինտերնետային կապի միջոցով, ինչը նրանց անվտանգ է դարձնում «SIM» փոխանակման խարդախությունից և գաղտնալսումից: «mTAN»-ի նման, «pushTAN»-ը թույլ է տալիս օգտվողներին ստուգել գործարքի մանրամասները: «PushTAN» հաղորդագրությունը ներառում է բանկի կողմից ստացված գործարքի մասին տեղեկատվությունը, որը օգտվողներին հնարավորություն է տալիս համոզվել, որ թաքնված մանիպուլյացիաներ չեն եղել:
Չնայած «pushTAN»-ն առաջարկում է ուժեղացված անվտանգություն, այն ընդունում է զուգահեռ չարամիտ վարակների հնարավոր ռիսկը և՛ համակարգչի, և՛ սմարթֆոնի վրա: Ռիսկը մեղմելու համար «pushTAN» հավելվածը նախագծված է դադարեցնել իր աշխատանքը, եթե շարժական սարքը արմատավորված է (Android) կամ «jailbroken» (iOS)[11]։ Այս պայմանները սովորաբար ցույց են տալիս սարքի վրա վտանգված անվտանգության միջավայրը, ինչը մեծացնում է խոցելիությունը չարամիտ ծրագրերի նկատմամբ: «PushTAN» հաղորդագրությունները առաքվում են գաղտնագրված ինտերնետային կապի, այլ ոչ թե ավանդական «SMS»-ի միջոցով, որն ավելացնում է անվտանգության շերտ՝ պաշտպանելով հաղորդագրությունները գաղտնալսումից: «PushTAN»-ն ընդունվել է 2014-ի վերջին՝ ճանաչելով դրա առավելությունները «mTAN»-ի նկատմամբ[12]:
Այսպիսով՝ «pushTAN»-ը զգալի առաջընթաց է առցանց բանկային գործարքների վավերացման գործում: Այն լուծում է «mTAN»-ի հետ կապված բազմաթիվ խոցելիություններ, ինչպիսիք են «SIM»-ի փոխանակման խարդախությունը և «SMS» գաղտնալսումը, օգտագործելով գաղտնագրված ինտերնետ կապը և հատուկ հաղորդագրությունների հավելվածը: Չնայած այն ընդունում է զուգահեռ չարամիտ վարակների հավանական ռիսկը, սարքի ամբողջականության ստուգումների իրականացումը ապահովում է անվտանգության ավելի բարձր մակարդակ: Սա «pushTAN»-ը դարձնում է ամուր և ծախսարդյունավետ այլընտրանք առցանց բանկային անվտանգ գործարքների համար:
TAN գեներատորներ[խմբագրել | խմբագրել կոդը]
Պարզագույն TAN գեներատորներ[խմբագրել | խմբագրել կոդը]
Անվտանգության նշանները սարքեր են, որոնք արագորեն ստեղծում են Գործարքների վավերացման համարներ (TAN): Այս նշանները գաղտնիք են պահում, որը կիսվում է նշանի և բանկի միջև: Երբ օգտատերը պետք է վավերացնի գործարքը, նշանը ստեղծում է եզակի «TAN»՝ հիմնված այս գաղտնիքի վրա: Անվտանգության նշանների երկու հիմնական տեսակ կա. անվտանգության ինքնուրույն նշաններ- սրանք հատուկ սարքեր են, որոնք ստեղծում են TAN-ներ և խելացի քարտերի վրա հիմնված նշաններ, որոնք ներառում են խելացի քարտի տեղադրում նշան ընթերցողի մեջ՝ «TAN»-եր ստեղծելու համար:
Անվտանգության նշանների առավելություններն են՝ յուրաքանչյուր «TAN» ստեղծվում է գործարքի պահին՝ նվազեցնելով «TAN»-երի ստատիկ ցանկի վտանգը: «TAN»-եր ստեղծելու համար օգտագործվող գաղտնիքը ապահով կերպով պահվում է նշանի կամ խելացի քարտի ներսում, ինչը հարձակվողների համար դժվարացնում է այն հանելը: Անվտանգության նշանների սահմանափակումներից են այն, որ նշանի կողմից ստեղծված «TAN»-ը կապված չէ գործարքի կոնկրետ մանրամասների հետ: Սա նշանակում է, որ նույն «TAN»-ը տեսականորեն կարող է օգտագործվել որոշակի ժամկետում ներկայացված ցանկացած գործարքի համար: Եթե հարձակվողը խաբում է օգտատիրոջը, որպեսզի ֆիշինգի միջոցով տրամադրի «TAN», հարձակվողը կարող է օգտագործել այս «TAN»-ը մեկ այլ գործարքի իսկությունը հաստատելու համար: Քանի որ «TAN»-ը կապված չէ գործարքի կոնկրետ մանրամասների հետ, բանկը այն կընդունի որպես վավեր ցանկացած գործարքի համար:
Թեև անվտանգության նշանները զգալիորեն նվազեցնում են «TAN»-ի ամբողջ ցանկը խախտելու ռիսկը, անհրաժեշտ են լրացուցիչ միջոցներ՝ ֆիշինգի և «MitM» հարձակումների ռիսկերը մեղմելու համար։
ChipTAN / Sm@rt-TAN / CardTAN[խմբագրել | խմբագրել կոդը]
«ChipTAN»-ը, որը նաև հայտնի է որպես «Sm@rt-TAN» Գերմանիայում և «CardTAN» Ավստրիայում[13][14][15] [16] գործարքների նույնականացման սխեմա է, որն օգտագործվում է գերմանական և ավստրիական շատ բանկերի կողմից: Այն օգտագործում է ապարատային սարք, որը կոչվում է «TAN» գեներատոր և բանկային քարտ՝ յուրաքանչյուր գործարքի համար հատուկ գործարքների վավերացման համարներ (TAN) ստեղծելու համար[17]։
«ChipTAN» գեներատորը կապված չէ որևէ կոնկրետ հաշվի հետ: Օգտագործողները պետք է իրենց բանկային քարտը տեղադրեն գեներատորի մեջ՝ այն օգտագործելու համար: ստեղծված «TAN»-ը հատուկ է բանկային քարտին և գործարքի մանրամասներին, ապահովելով, որ յուրաքանչյուր «TAN»-ը եզակի է որոշակի գործարքի համար:
Գոյություն ունի երկու տարբերակ. այս ավելի հին տարբերակում օգտվողները ձեռքով մուտքագրում են գործարքի մանրամասները (օրինակ՝ գումարը և հաշվի համարը) «TAN» գեներատորում: Այնուհետև գեներատորը ցուցադրում է այս մանրամասները օգտվողի հաստատման համար՝ նախքան «TAN»-ը ստեղծելը: ժամանակակից տարբերակում օգտատերը գործարքը սկսում է առցանց: «TAN» գեներատորը կարդում է գործարքի մանրամասները համակարգչի էկրանին ցուցադրվող թարթող շտրիխ կոդի միջոցով՝ օգտագործելով ֆոտոդետեկտորները: Այնուհետև մանրամասները ցուցադրվում են գեներատորի էկրանին՝ օգտատիրոջ հաստատման համար, նախքան«TAN»-ի ստեղծումը:
«ChipTAN» գեներատորն աշխատում է օգտատիրոջ համակարգչից անկախ: Սա նշանակում է, որ այն խոցելի չէ չարամիտ ծրագրերի համար, որոնք կարող են առկա լինել համակարգչում: «TAN» գեներատորը համակարգչի հետ հաղորդակցվում է միայն պարզ օպտիկական ալիքի միջոցով, որն իր էությամբ ապահով է թվային հարձակումներից: Գործարքի մանրամասները ցուցադրվում են «TAN» գեներատորի էկրանին, ինչը թույլ է տալիս օգտվողին հաստատել դրանք նախքան «TAN»-ի ստեղծումը: Սա խանգարում է հարձակվողներին փոփոխել գործարքի մանրամասները օգտատերի կողմից դրանք հաստատելուց հետո: Քանի որ «TAN» գեներատորը գործելու համար պահանջում է բանկային քարտ, այն կարող է օգտագործվել տարբեր բանկերի բազմաթիվ հաշիվներով: Գեներատորի կորուստը անվտանգության վտանգ չի ներկայացնում, քանի որ անվտանգության կարևոր տեղեկատվությունը պահվում է հենց բանկային քարտի վրա:
Հարձակվողները կարող են փորձել խաբել օգտատերերին՝ թույլ տալով կեղծ փոխանցումները՝ պնդելով, որ նրանք բանկից են և պահանջելով «փորձնական փոխանցում» կամ նշելով, որ սխալ փոխանցումը պետք է «վերադարձվի»[2][18]: Օգտատերերը երբեք չպետք է լիազորեն այն գործարքները, որոնք իրենք չեն նախաձեռնել: Կրթությունը և իրազեկումը կարևոր նշանակություն ունեն սոցիալական ինժեներական հարձակումները կանխելու համար:
Խմբաքանակով փոխանցումների համար (Sammelüberweisungen) «TAN» գեներատորը ցուցադրում է միայն փոխանցումների քանակը և ընդհանուր գումարը, այլ ոչ թե առանձին գործարքների մանրամասները: Սա հեշտացնում է հարձակվողների համար խմբաքանակով փոխանցումները առանց հայտնաբերման շահարկելը[19]։ 2009 թվականի նոյեմբերին «RedTeam Pentesting»-ը ընդգծեց այս խոցելիությունը[20]։ Որպես պատասխան՝ որոշ բանկեր հարմարեցրեցին իրենց համակարգերը՝ մեկ ռեկորդային խմբաքանակային փոխանցումներն իրականացնելու համար որպես անհատական փոխանցումներ՝ բարելավելով անվտանգությունը:
Ծանոթագրություններ[խմբագրել | խմբագրել կոդը]
- ↑ «Transaction Authentication Number (TAN)». Fraud.net (ամերիկյան անգլերեն). Վերցված է 2023-12-14-ին.
- ↑ 2,0 2,1 Candid Wüest, Symantec Global Security Response Team Current Advances in Banking Trojans? Արխիվացված 2014-04-25 Wayback Machine iriss.ie, Irish Reporting and Information Security Service, December 2, 2012 (PDF; 1,9 MB)
- ↑ Katusha: LKA zerschlägt Ring von Online-Betrügern WinFuture.de, October 29, 2010
- ↑ “High Roller” online bank robberies reveal security gaps European Union Agency for Network and Information Security, July 5, 2012
- ↑ heise online (2007-10-26). «Verbessertes iTAN-Verfahren soll vor Manipulationen durch Trojaner schützen» (գերմաներեն).
- ↑ Li, Shujun; Syed Amier Haider Shah; Muhammad Asad Usman Khan; Syed Ali Khayam; Ahmad-Reza Sadeghi; Roland Schmitz (2010). «Breaking e-Banking CAPTCHAs». Proceedings of 26th Annual Computer Security Applications Conference (ACSAC 2010). New York, NY, USA: ACM. էջեր 171–180. doi:10.1145/1920261.1920288.
- ↑ Victim's SIM swop fraud nightmare iol.co.za, Independent Online, January 12, 2008
- ↑ «31C3: Mobilfunk-Protokoll SS7 offen wie ein Scheunentor» (գերմաներեն). 2014-12-28.
- ↑ Fabian A. Scherschel (2017-05-03). «Deutsche Bankkonten über UMTS-Sicherheitslücken ausgeräumt» (գերմաներեն).
- ↑ Eurograbber SMS Trojan steals €36 million from online banks techworld.com, December 5, 2012
- ↑ Online-Banking mit pushTAN - FAQ berliner-sparkasse.de, Berliner Sparkasse (AöR), Retrieved on August 27, 2014.
- ↑ Informationen zu pushTAN dkb.de, Deutsche Kreditbank AG, Retrieved on March 12, 2015.
- ↑ Postbank chipTAN official page of Postbank, Retrieved on April 10, 2014.
- ↑ chipTAN: Listen werden überflüssig official page of Sparkasse, Retrieved on April 10, 2014.
- ↑ Die cardTAN official page of Raiffeisen Bankengruppe Österreich, Retrieved on April 10, 2014.
- ↑ «Sm@rt-TAN». www.vr-banking-app.de (գերմաներեն). Վերցված է 2018-10-10-ին.
- ↑ Die neue cardTAN ebankingsicherheit.at, Gemalto N.V., Retrieved on October 22, 2014.
- ↑ Tatanga Attack Exposes chipTAN Weaknesses trusteer.com, September 4, 2012
- ↑ «chipTAN-Verfahren / Was wird im TAN-Generator angezeigt?» (PDF). Sparkasse Neckartal-Odenwald. June 2013. Վերցված է 1 December 2014-ին. «SEPA-Sammelüberweisung, Inhalt: mehr als 1 Posten. Anzeige 1: Summe, Anzeige 2: Anzahl Posten»
- ↑ «Man-in-the-Middle Attacks against the chipTAN comfort Online Banking System». RedTeam Pentesting GmbH. Վերցված է 1 December 2014-ին.