Video: MAKING YOUR BANK HACKPROOF? (Exposing Bank Hackers) (Nobyembre 2024)
Marahil ay nakatagpo ka ng isa sa mga scheme ng pagpapatunay ng website na gumagana sa pamamagitan ng pagpapadala ng isang beses na code sa iyong smartphone at pinapasok mo ito online. Ang Mga Numero ng Mobile Transaction Authentication (mTAN) na ginagamit ng maraming mga bangko ay isang halimbawa. Hinahayaan ka ng Google Authenticator na protektahan ang iyong account sa Gmail sa parehong paraan, at iba't ibang iba pang mga serbisyo-LastPass, halimbawa - suportahan din ito. Sa kasamaang palad, ang mga masasamang tao ay alam na kung paano ibabawas ang ganitong uri ng pagpapatunay. Ang pagpapatotoo ng TextKey ng SMS ay isang bagong diskarte, isa na nagpoprotekta sa bawat yugto ng proseso ng pagpapatunay.
Lumiko ito
Ipinapadala ng Old-style na SMS pagpapatunay na isang beses na code sa nakarehistrong mobile number ng gumagamit. Walang paraan upang matiyak na ang code ay hindi nahuli ng malware o naharang gamit ang isang clone ng telepono. Susunod, type ng gumagamit ang code sa browser. Kung nahawahan ang PC, maaaring ikompromiso ang transaksyon. Sa katunayan, ang isang variant ng Zeus na tinatawag na zitmo (para sa "Zeus sa mobile") ay nagsasagawa ng pag-atake ng tag-team, na may isang sangkap sa PC at isa sa mobile na nagtutulungan upang nakawin ang iyong mga kredensyal, at ang iyong pera.
Binabaliktad ng TextKey ang buong proseso. Wala itong text sa iyo. Sa halip, ipinapakita nito ang isang PIN pagkatapos mong ipasok ang iyong username at password at hiniling sa iyo na i-text ang PIN sa isang tinukoy na maikling code. Ang mga cellular carriers ay talagang nagtatrabaho upang matiyak na ang isang numero ng telepono ay tumutugma nang eksakto sa isang aparato, kaya kung ang server ng TextKey ay tumatanggap ng mensahe, nangangahulugan ito na napatunayan ng carrier ang numero ng telepono at ang UDID ng telepono. Doon, ang TextKey ay nakakakuha ng dalawang dagdag na mga kadahilanan sa pagpapatunay nang libre!
Ang PIN ay naiiba sa bawat oras, at may bisa lamang sa loob ng ilang minuto. Ang maikling code ay nag-iiba rin. At ang isang website na gumagamit ng TextKey para sa pagpapatotoo ay maaaring opsyonal na hinihiling sa bawat gumagamit na lumikha ng isang personal na PIN na dapat idagdag sa simula o pagtatapos ng isang beses na PIN.
Ano ang mangyayari kung ang isang katrabaho na balikat-surf sa screen gamit ang PIN at maikling code, o isang masamang programa ang nag-uulat ng iyong aktibidad sa pag-text sa may-ari nito? Kung ang sistema ng TextKey ay tumatanggap ng tamang PIN mula sa maling numero ng telepono, hindi lamang ito tinatanggihan ang pagpapatunay. Naka-log din ang numero ng telepono bilang isang pandaraya, kaya ang may-ari ng site ay maaaring gumawa ng naaangkop na aksyon.
I-click ang link na ito upang subukan ang TextKey. Para sa mga layunin ng demonstrasyon, ipasok mo ang iyong numero ng telepono; sa isang totoong sitwasyon sa mundo na ang bilang ay magiging bahagi ng iyong profile ng gumagamit. Tandaan na maaari mong ma-trigger ang alerto ng pandaraya sa pamamagitan ng pagpasok ng isang numero maliban sa iyong sarili.
Paano Mo Kunin Ito
Sa kasamaang palad, ang TextKey ay hindi isang bagay na maaari mong ipatupad bilang isang mamimili. Maaari mo lamang itong magamit kung ang bangko o iba pang ligtas na site ay naipatupad ito. Ang mga maliliit na negosyo ay maaaring kumontrata para sa pagpapatotoo ng TextKey sa isang batayan ng seguridad-as-a-service, na nagbabayad mula sa $ 5 hanggang $ 0.50 bawat gumagamit bawat buwan, depende sa bilang ng mga gumagamit. Iyon ay isang flat buwanang bayad, para sa anumang bilang ng mga logins. Ang mga malakihang operasyon ng pag-host sa kanilang sariling mga TextKey server ay nagbabayad ng isang bayad sa pag-setup pati na rin ang bawat buwan na bayad.
Ang pamamaraan na ito ay maaaring hindi 100 porsyento na hindi masusukat, ngunit ito ay malawak na mas malambot kaysa sa pagpapatunay ng old-school na SMS. Lumalabas ito nang lampas sa two-factor; Tinatawag ito ng TextPower na "Omni-Factor." Kailangan mong malaman ang password, taglay ang telepono gamit ang tamang UDID, ipasok ang ipinakita na PIN, opsyonal na idagdag ang iyong personal na PIN, ipadala ang teksto mula sa iyong rehistradong numero ng telepono, at gamitin ang random na maikling code bilang isang patutunguhan. Nakaharap sa ito, ang average na hacker ay marahil ay kumurap at pumutok sa ilang mga bank mTAN.
