A legtöbb webes szolgáltatásban már beállítható kétfaktoros azonosítás annak érdekében, hogy felhasználói fiókjaink minél nagyobb biztonságban legyenek. Az online bankolás esetében ez lényegében kötelező, ám a jelek szerint ez sem garantálja teljesen a fiókok biztonságát. A Microsoft nemrégiben felhívta a figyelmet arra, hogy az SMS-t használó kétfaktoros azonosítás nem a legbiztonságosabb, a bankok pedig ezt saját bőrükön tapasztalták meg.
Az IBM Trusteer kutatói számoltak be arról, hogy csalóknak több millió dollárt sikerül online bankfiókokról meglovasítania, melyhez telefonos emulátorokat használtak. Ezek segítségével sikerül megtéveszteniük a bankok beléptető rendszerét, és 16 ezernyi felhasználói mobilt "utánoztak", ami azt jelenti, hogy sikerült az SMS-ben kapott azonosítóval belépjenek olyan fiókokba, melyek adatait korábban valamilyen módon megszerezték.
Ehhez több mint 20 emulátort használtak, melyekkel az online bankfiókokba belépve, úgy tettek, mintha a felhasználók próbálnának hozzáférni számlájukhoz. A visszaigazoló kód pedig nem az eredeti tulajdonos mobiljára érkezett, hanem a csalók által futtatott virtuális telefonokra.
"Az adatforrások, szkriptek és egyedi alkalmazások, melyeket a támadók készítettek, egy átfogó, automatizált folyamat részei voltak, melyek olyan sebességet biztosítottak számukra, melynek köszönhetően több millió dollárt tudtak kicsalni az áldozatul esett bankoktól." - olvasható az IBM Trusteer közleményében.
A szakértők úgy gondolják, hogy a belépéshez szükséges adatokhoz adathalászattal vagy kártevők telepítésével juthattak hozzá a támadók. Egyelőre sajnos a legtöbb bank SMS-ben kínálja a kétlépcsős beléptetést, noha erre lennének biztonságosabb módszerek is. Mindenesetre érdemes lehet havonta végigbogarászni bankszámlánkon történő mozgásokat, hogy észrevegyük, ha csalás áldozatául estünk.
