Det første phishing-forsøg, der udnytter den såkaldte "manden-i-midten" taktik til at bryde internetbankernes to-faktorsikkerhed, er blevet opdaget. Det skriver avisen Washington Post.
Flere sikkerhedseksperter havde spået, at det blot var et spørgsmål om tid, før vi fik det første angreb af denne type at se.
Kodegenerator
To-faktorsikkerhed består i dette tilfælde, hvor Citibanks erhvervskunder var målet, i en kodegenerator eller token, som skaber nye adgangskoder hvert andet minut.
Denne adgangskode suppleres med kundens sædvanlige brugernavn og adgangskode.
Metoden kaldes to-faktorsikkerhed, fordi der kræves både et kendskab til login-oplysningerne samt den fysiske genstand.
Metoden skal forhindre skaderne ved, at en kunde logger på et falsk websted og udleverer sine oplysninger. Loginoplysningerne er intet værd uden den fysiske genstand.
Manden-i-midten omgår imidlertid denne sikkerhed ved at placere svindelwebstedet mellem brugeren og det ægte websted.
Viser feedback
Brugeren vil således få vist den feedback, som det ægte websted normalt giver ham.
På den måde opfanger svindlerne både loginoplysningerne og den midlertidige adgangskode, som de kan bruge til på samme tidspunkt at logge på netbanken.
Angrebet kræver dog, at svindlerne udnytter de indsamlede oplysninger omgående, før den midlertidige adgangskode skifter.
Derfor virker to-faktorsikkerheden fortsat mod de typiske phishing-forsøg, hvor oplysningerne sjældent bliver brugt med det samme.
Men flere sikkerhedseksperter tvivler på, at metoden vil være sikker på længere sigt.
- Jeg tror, at to-faktorsikkerhed vil være uden virkning, når vi skal til at tackle den næste generation af phishing-forsøg, skriver sikkerhedsanalytiker Zulfikar Ramzan fra Symantec på sikkerhedsfirmaets weblog.
Sikkerhedsguru Bruce Schneier advarede allerede sidste år mod at stole for meget på to-faktorsikkerhed, netop fordi metoden er sårbar over for manden-i-midten.
Relevante link
