Ověřovací číslo transakce

Ověřovací číslo transakce (anglicky Transaction Authentication Number, zkratka TAN) je používáno některými online bankovními službami. Jde o využití jednorázových hesel pro autorizaci finančních transakcí. TAN je další vrstva ochrany vedle klasického ověření heslem.

TAN poskytuje dodatečnou jistotu, protože působí jako forma dvoufázového ověření. Může to být fyzický dokument nebo token obsahující TAN. V případě krádeže bude tento dokument bez hesla k ničemu. Naopak, pokud se získají přihlašovací údaje, žádné transakce nemohou být provedeny bez platné TAN.

Klasický TAN

Princip klasického TAN:

  1. Banka vytvoří pro uživatele množinu unikátních čísel. Obvykle každý uživatel dostane kolem padesáti ověřovacích čísel vytisknutých na papíře, což je dost na půl roku pro normálního uživatele; každý TAN je šest nebo osm znaků dlouhý.
  2. Uživatel si vyzvedne seznam z nejbližší banky (prokáže totožnost občankou nebo jakýmkoliv podobným dokumentem) nebo mu seznam může být poslán na email.
  3. Heslo a PINy jsou přeneseny zvlášť.
  4. Pro založení účtu, uživatel musí zadat uživatelské jméno (často je to číslo účtu) a heslo (PIN). Nyní byste měli získat přístupové informace, ale možnost zpracování transakcí je stálé zakázána.
  5. Chcete-li provést transakci, uživatel musí zadat požadavek a autorizovat transakci zadáním nepoužitého ověřovacího čísla. Banka číslo ověří ze seznamu čísel, které vám předložila při tvorbě účtu a v případě shody je transakce zpracována. V opačném případě je transakce zamítnuta.
  6. Použité ověřovací číslo nyní už není možné znovu použít.
  7. V případě ztráty seznamu ověřovacích čísel, je nutné informovat banku.

I přes bezpečnost, jakou TAN nabízí, je stále náchylný na phishing útoky, kde se oběť napálí a útočníkovi nevědomky poskytne heslo (PIN) a některý z ověřovacích čísel. Dále TAN poskytuje špatnou ochranu proti útoku Man in the middle, kde útočník zachycuje veškerou vaší komunikaci se sítí (útočník takto může zachytit váš PIN i nepožitý TAN). Dále je možnost, když je klientský systém nakažen škodlivým softwarem, provést transakci útočníkem neautorizovaně.

Indexovaný TAN (iTAN)

Indexovaný TAN redukuje možnosti phishing útoku. Pro autorizaci transakce není uživatel dotazován na libovolné číslo ze seznamu, ale pro konkrétní číslo ze seznamu, které je v pořadí (index) za naposledy použitým TAN. Vzhledem k tomu, že index je náhodně vybrán bankou, je libovolný TAN útočníkovi zbytečný.

Nicméně, i přes tuto ochranu jsou útoky jako man-in-the-middle[1] a phishing (útočník uživateli předhodí identickou kopii přihlašovací stránky webového serveru banky a útočník si bez problému ukládá vaše dobrovolně zadané informace do svého počítače) stále možné.

Proto v roce 2012 Agentura Evropské unie pro bezpečnost sítí a informací doporučuje všem bankám přezkoumat PC systémy jejich klientů a nastavit jim systém pro používání bezpečnostních procesů jako je například křížová kontrola údajů transakce. MTAN nebo smart-card čtečky s vlastním displejem mající možnost zadat údaje o transakci a TAN je pak vygenerován přímo pro daný moment (chipTAN).[2]

Indexovaný TAN se systémem CAPTCHA (iTANplus)

Před vstupem do iTAN, je uživateli předložena CAPTCHA, která v pozadí ukazuje údaje o transakcích a údaje, které bychom nechtěli, aby útočník věděl. Úmyslem bylo ztížit (ale ne nemožné) útočníkovi zfalšovat CAPTCHA.

Tato varianta iTan je používána v některých německých bankách a CAPTCHA pomáhá snížit riziko napadení způsobem man-in-the-middle.[3] Některé čínské banky nasadily TAN podobný TANplus. Nedávná studie ukazuje, že CAPTCHA založená na schématech TAN nejsou bezpečné proti pokročilejším automatizovaným útokům.[4]

TAN pro telefony (mTAN)

mTAN je používané bankami v Rakousku, Bulharsku, České republice, Německu, Maďarsku, Nizozemí, Polsku, Rusku, Singaporu, Jižní Africe, Španělsku, Švýcarsku nějaké na Novém Zélandu, Austrálii a Ukrajině. Když uživatel potřebuje potvrdit provedenou transakci, tak je ověřovací číslo vygenerováno bankou a posláno uživateli pomocí SMS. SMS může dále obsahovat transakční data, díky kterým si uživatel ověří, že transakce nebyla nějak pozměněna.

Nicméně bezpečnost tohoto schématu závisí na bezpečnost operačního systému v telefonu. V Jižní Africe je způsob přes SMS obvyklý už dlouho, a proto byl objeven nový typ útoku: SIM SWAP FRAUD. Běžný způsob útok je že se útočník vydává za oběť a získá náhradní SIM kartu telefonu oběti od mobilního operátora. Uživatelské jméno a heslo je získáno jiným způsobem například záznamem stisknutých kláves. Díky naklonované SIM může útočník provádět jakékoliv transakce[5] než si uživatel všimne, že jeho SIM v telefonu už nefunguje.

Také vzestup chytrých telefonů vedl k útoku škodlivého softwaru, který se snaží současně infikovat počítač a mobilní telefon.[6]

TAN generátory

Jednoduché TAN generátory

Aby se snížilo riziko ohrožení celého seznamu s TAN čísly je možné použít bezpečnostní prvky, které generují TAN na základě tajemství s bankou a uloženého tokenu nebo čipové karty vložené do tokenu.

Nicméně vygenerovaný TAN není svázaný s podrobnostmi o konkrétní transakci. TAN je platný pro všechny transakce předložené s tím, že není chráněný proti phishingovým útokům, kde ho může používat přímo útočník nebo také proti útokům man-in-the-middle.

Reference

V tomto článku byl použit překlad textu z článku Transaction authentication number na anglické Wikipedii.

  1. Candid Wüest, Symantec Global Security Response Team Current Advances in Banking Trojans? Archivováno 25. 4. 2014 na Wayback Machine. iriss.ie, Irish Reporting and Information Security Service, December 2, 2012 (PDF; 1,9 MB)
  2. “High Roller” online bank robberies reveal security gaps European Union Agency for Network and Information Security, July 5, 2012
  3. heise online. Verbessertes iTAN-Verfahren soll vor Manipulationen durch Trojaner schützen [online]. 2007-10-26. Dostupné online. (German) 
  4. Li, Shujun; Syed Amier Haider Shah, Muhammad Asad Usman Khan, Syed Ali Khayam, Ahmad-Reza Sadeghi and Roland Schmitz (2010). "Breaking e-Banking CAPTCHAs". Proceedings of 26th Annual Computer Security Applications Conference (ACSAC 2010): 171–180, New York, NY, USA: ACM. doi:10.1145/1920261.1920288.  Archivováno 13. 3. 2016 na Wayback Machine. Archivovaná kopie. www.acsac.org [online]. [cit. 2017-01-17]. Dostupné v archivu pořízeném z originálu dne 2016-03-13. 
  5. Victim's SIM swop fraud nightmare iol.co.za, Independent Online, January 12, 2008
  6. Eurograbber SMS Trojan steals €36 million from online banks Archivováno 25. 4. 2014 na Wayback Machine. techworld.com, December 5, 2012

Externí odkazy

Média použitá na této stránce