A bűnözők 16 ezer felhasználó telefonját emulálták, melyekkel képesek voltak a kétlépcsős azonosítást is megkerülni. Az áldozatok sokszor csak jóval később vették észre a veszteséget - írja a Computerworld a legújabb mobilos csalásról.

Az it-biztonsági szakemberek visszatérő mantrája, hogy a felhasználók a saját biztonságuk érdekében állítsanak be kétlépcső azonosítást a webes szolgáltatásokhoz: a jelszó mellé például ujjlenyomatolvasást is kérjenek, vagy smsben küldött belépési kódot válasszanak. Utóbbiról viszont kiderült, hogy ezt is könnyen ki tudják játszani a csalók: a Microsoft figyelmeztetett most arra, hogy az smst használó kétfaktoros azonosítás nem a legbiztonságosabb, és az IBM Trusteer kutatói fel is fedeztek egy új lopási módszert.

Csalóknak több millió dollárt sikerül online bankfiókokról ellopnia úgy, hogy telefonos emulátorokat használtak. Ezek segítségével sikerül megtéveszteniük a bankok beléptető rendszerét, és 16 ezernyi felhasználói mobilt "utánoztak", ami azt jelenti, hogy sikerült az smsben kapott azonosítóval belépjenek olyan fiókokba, melyek adatait korábban valamilyen módon megszerezték - írja a Computerworld a módszerről, aminek a lényege az, hogy úgy tettek, mintha a felhasználók próbálnának hozzáférni számlájukhoz, viszont a visszaigazoló kód nem az eredeti tulajdonos mobiljára érkezett, hanem a csalók által futtatott virtuális telefonokra.

"Az adatforrások, szkriptek és egyedi alkalmazások, melyeket a támadók készítettek, egy átfogó, automatizált folyamat részei voltak, melyek olyan sebességet biztosítottak számukra, melynek köszönhetően több millió dollárt tudtak kicsalni az áldozatul esett bankoktól." - olvasható az IBM Trusteer közleményében.

A PSD2 szabályozás 2021 lépett életbe, ami újabb biztonsági követelményeket támaszt a banki hozzáférésekkel szemben, amelyekről itt olvashat.