Az IT-biztonsági szakemberek visszatérő mantrája, hogy a felhasználók a saját biztonságuk érdekében állítsanak be kétlépcsős azonosítást a webes szolgáltatásokhoz: a jelszó mellé például ujjlenyomatolvasást is kérjenek, vagy SMS-ben küldött belépési kódot válasszanak. Utóbbiról viszont kiderült, hogy ezt is könnyen ki tudják játszani a csalók: a Microsoft figyelmeztetett most arra, hogy az SMS-t használó kétfaktoros azonosítás nem a legbiztonságosabb, és az IBM Trusteer kutatói fel is fedeztek egy új lopási módszert.
Csalóknak több millió dollárt sikerül online bankfiókokról ellopnia úgy, hogy telefonos emulátorokat használtak. Ezek segítségével sikerül megtéveszteniük a bankok beléptető rendszerét, és 16 ezernyi felhasználói mobilt "utánoztak", ami azt jelenti, hogy sikerült az SMS-ben kapott azonosítóval belépniük olyan fiókokba, melyek adatait korábban valamilyen módon megszerezték - írja a Computerworld a módszerről. Ennek lényege az, hogy úgy tettek, mintha a felhasználók próbálnának hozzáférni számlájukhoz, viszont a visszaigazoló kód nem az eredeti tulajdonos mobiljára érkezett, hanem a csalók által futtatott virtuális telefonokra.
"Az adatforrások, szkriptek és egyedi alkalmazások, amelyeket a támadók készítettek, egy átfogó, automatizált folyamat részei voltak, amelyek olyan sebességet biztosítottak számukra, amelynek köszönhetően több millió dollárt tudtak kicsalni az áldozatul esett bankoktól" - olvasható az IBM Trusteer közleményében.
A PSD2 szabályozás 2021-ben lépett életbe, ami újabb biztonsági elemeket követel a banki hozzáféréseknél, amelyekről itt olvashat.