支払いやその他の金融サービスがセキュリティ要件を高めていることは周知の事実です。 この点で、システム自体とユーザーアカウントの両方を保護するための包括的な対策が講じられています。 システムをハッキングして無効にする可能性を防ぐために、次のようなさまざまな手段が使用されます。
- あらゆる種類のファイアウォール、現在はWAF(Web Application Firewall)が非常に人気があり、
- システムの主要な要素の複製、
- データ複製 システムのさまざまな段階のトークン化、
- HSM(ハードウェアセキュリティモジュール)を使用したハードウェア暗号化。
ユーザーのアカウントとその操作を保護する観点から、通常のパスワード保護と他の手段の両方が使用されます。
- IPアドレスによるアクセス制限、
- コードカード、支払いパスワード、PIN、
- 生体認証
- ユーザー環境を確認してください。
そしてもちろん、二要素認証ツール、EDS(電子デジタル署名)および非接触トークン-OTP(ワンタイムパスワード)ジェネレーター。
私は、2要素認証がユーザー認証のプロセスで発生する可能性のあるほぼすべての脆弱性からの万能薬であると常に考えていました。 当時考えていたように、最新のセキュリティトレンドに従って、支払いシステムでの認証のために、世界の主要サプライヤーまたはGoogleのソフトウェア認証システムのハードウェアトークン(TOTP、「トークンインタイム」と呼ばれます)の使用をユーザーに推奨しました。 支払い操作(トランザクション)を確認するために、上記のトークンが使用されました。トークンがない場合は、SMSからワンタイムパスワードを入力する必要がありました。 このような保護は私たちには絶対に信頼できるように思えましたが、これが本当なら、この記事はそうではなかったでしょう...
私は長い間茂みを回りません、私は仕事に取りかかります。 かつて、怒っているユーザーからの申請が、彼のアカウントが「リセット」された、つまりすべての資金が引き出されたと言ってサポートに来ました。 最初の調査の後、操作の履歴から、いくつかのトランザクションの通常モードのすべての資金がユーザー自身によって異なるアカウントに引き出されたことがわかりました。 これ以前は、ユーザーとこれらのアカウントの間には接続(操作)がありませんでした。 すべてのデータの詳細なレビューと分析の後、このユーザーは「Avtozaliva」と「Replacer」の被害者であることが判明しました。
インターネットに集まった小さな理論:
自動入力 -アカウント内の状況/状況に基づいて、被害者のアカウント内で自動化され調整されたアクションを実行する管理パネルによる注入。 この悪意のあるプログラムは、アカウントデータを収集し、アカウントにあるアカウントを調べて、管理パネルにデータを送信します。 このパネルには、ドロップとそのステータス、メモ、資金を転送する口座データ、限度を回避し疑惑を引き起こさない程度の口座データの表が含まれています。 パネルは、自動ルールに基づいて、または手動調整により、ドロップを選択し、インジェクトに発行します。 さらにいくつかの代替オプション:
オプション1)インジェクションは、「データの検証中に待機」などのテキストを含むウィンドウをユーザーに表示し、アカウント内の必要なリンクを「クリック」してシステムから要求されたフォームに記入することで、お金をドロップに導くアクションを密かに実行します。 TAN / OTP / PINコードが要求されるなどして転送を完了すると、自動フラッドはこのコード自体を要求する所有者に偽のページを発行しますが、すでにその口実(離婚)の下にあります。 所有者がデータを偽物に入力すると、自動湾はこのデータを使用して湾を続行/終了します。
オプション2)ユーザーがTAN / OTP / PINコードが要求される法的取引を実行したいが、このコードは違法取引を確認するまで、インジェクションは待機します-ドロップのためのお金を充填します。
その後、所有者は、レプリケーターが既に動作しているアカウントに入れられます。
Replayerは、自動入力によって行われた転送のデータを隠すことを目的としたプログラムコードです。 言い換えれば、バランスの置換は、翻訳者が翻訳に気付かないようにすることを目的とした翻訳の履歴および他の操作からの翻訳の隠蔽です。 私たちの場合、所有者は偽の残高と偽の法的取引を見ています。
私たちのシステムには、残高とユーザートランザクションの金額の調整、システムと外部の残高、その他多数の残高の調整など、さまざまなマルチレベルの検証ツールがあります。 この場合、これはすべて役に立ちませんでした。なぜなら、 トランザクションは「薄っぺらな」ものではなく、非常に普通のように見えました。
もちろん、さまざまな種類の攻撃について聞いたことがあり、実際にはあらゆる種類の詐欺に遭遇することがよくありますが、ここでは控えめに言っても驚きました。 資金はユーザーのアカウントから「注がれ」ましたが、評判への影響を避けるために、会社の経営陣は被害者への損失の一部を補償しました。 これは、彼が好転率の良い良心的なクライアントであり、最も重要なことに、彼はその時点で私たちの武器庫からすべての保護具を入手できたという事実も原因でした。
いくつかの検索の後、同様の2要素認証バイパスがすでによく知られていることがわかりました。多くの高度なプロバイダーは、この脆弱性に対抗するための同様のソリューションを提供し、それらは異なる方法で呼び出されます(データ署名、 CWYS (Confirm What You See)、しかし同様の実装を持っています)。ポイントは、ワンタイムパスワードは、秘密鍵、時間、またはカウンターに基づいて生成されるだけでなく、攻撃者がクロスした場合でも、金額、通貨、受信者などのすべてのキートランザクションデータを使用して生成されることです 彼らの悪質なニーズのために使用するAmumパスワード、彼は彼ができません。 ここではすべてが詳細に記載されている。これらの機能を実装するために、我々はいくつかのプロバイダに連絡し、彼らの選択をしました。
だから、私たちは安ofのため息を吐きながら...私たちは新しい挑戦を待っています。