Ausztrál biztonsági kutatóknak sikerült egy olyan kártékony kódot készíteniük, amely minden eddiginél nagyobb kockázatot jelent a banki adatokra, ugyanis a kétfaktoros, SMS-alapú hitelesítést is képes hatástalanítani.

A TrustDefender és a Dragonfly Technologies cégek komoly fejlesztéseket folytatnak a végponti biztonsági megoldások kialakítása, és a minél hatékonyabb kétfaktoros autentikációs eszközök készítése érdekében. A két vállalat kutatói egy érdekes bemutatót tartottak, amelyen egy új, veszélyes kártékony kód által jelentett kockázatokat ismertettek. A trójai program veszélye pedig nem kicsi, ugyanis a segítségével hozzáférhetővé váltak a Commonwealth Bank által kezelt számlák. A trójai mindenfajta nehézség nélkül iktatta ki a pénzintézet által alkalmazott kétfaktoros hitelesítési rendszert.

Andreas Baumhof, a TrustDefender egyik vezetője elmondta, hogy napjainkban a kétfaktoros azonosítás jelenti az egyik leghatékonyabb védelmet a támadók ellen. Ugyanakkor a bemutató során kiderült, hogy e rendszereken is van még mit fejleszteni. Az új kártékony program ugyanis nemcsak arra képes, hogy a felhasználók által beírt felhasználóneveket, illetve jelszavakat összegyűjtse, hanem arra is, hogy az SMS alapú autentikációs rendszer egyik gyengeségét kihasználva, a több szinten védett bankszámlákhoz is jogosulatlan hozzáférést szerezzen. A trójai a bemutatókor egy szokványos PC-n futott, amely Windows XP operációs rendszerre épült, és az Internet Explorer 7 webböngészőt tartalmazta. A biztonsági szakemberek hangsúlyozták, hogy a trójai által kihasznált lehetőségek más bankok esetében is működőképesek lehetnek. Baumhof szerint a pénzintézetek többnyire csak a saját rendszereiket védik, míg ha az ügyfeleik számítógépe fertőződik meg, akkor az egész “biztonsági lánc” sérülhet.

Sarv Girn, a Commonwealth Bank informatikai biztonsági vezetője azonban megcáfolta, hogy a bank rendszere bármilyen kártékony program által sérült volna. A szakember szerint nem lehet egyetlen trójaival veszélyeztetni egy ilyen komplett biztonsági rendszert. Girn kifejtette, hogy egy védelmi megoldás segítségével az összes tranzakciót ellenőrzik annak érdekében, hogy a csalások nagy hatékonysággal kiszűrhetővé váljanak.