Du har rätt i att ett av sätten en angripare kan fånga upp koden är att hacka din telefon. En angripare kan också:

• Klona din telefons sim och begära att en bankkod skickas till ditt telefonnummer. de skulle också kunna klona en icke-sim-telefon också
• Stjäl din telefon. När de väl har din telefon kan de utföra transaktioner
• Utför en man i mittenattacken när du använder din banksida. Detta har redan gjorts, en angripare använder skadlig programvara installerad på din dator (en man i webbläsarattacken) för att dirigera din banktrafik till en webbplats som är inställd för att efterlikna din banks sida. Eller en angripare kan undergräva ett system för att fungera som en proxy. Hur som helst När du skriver in koden får angriparen den och använder sedan koden för att utföra en transaktion
• Socialtekniker din bank för att ändra din mobiltelefoninformation till en telefon de kontrollerar. Om en angripare vet tillräckligt om dig och din banks procedurer inte är tillräckligt strama, kan angriparen ringa din bank som låtsas vara dig och få dem att ändra mobilnummer

Så vad kan du göra?

• Behåll kontrollen över din mobiltelefon.
• Se till att din dator är uppdaterad med korrigeringar och antiprogramvara
• Gör all din bankverksamhet på en virtuell maskin och spara aldrig dess tillstånd. Om din virtuella maskin hackas och du sparar tillståndet förblir skadlig programvara kvar i den virtuella maskinen, men om du aldrig sparar dess tillstånd kommer skadlig programvara inte att kunna stanna kvar på den virtuella maskinen
• Många banker använd någon typ av autentiseringskod för att verifiera identiteten på de som ringer. Skriv ner dessa men lägg dem inte på din dator eller telefon, på det sättet finns det fortfarande något som en angripare inte vet, även om de har full tillgång till din dator och din online-identitet.

Det är inte allt undergång och dysterhet, för det mesta kan banker reversera transaktioner om de fångas snabbt, om du misstänker att en bedräglig transaktion har ägt rum, gå in på din bank ASAP och få deras utredare på det. Hur bra detta kan gå beror på vad de lokala lagarna är och hur bra din bank är.

Hela idén om en andra faktor / steg för autentisering är att tillhandahålla två oberoende säkerhetslager. Sårbarheter i ett lager bör inte påverka det andra säkerheten.

Andra faktorautentisering designades och användes korrekt tidigare men nyligen har den försvagats av företag som bryr sig mer om vinst än säkerhet. SMS-meddelanden kan inte återskapa säkerhetsnivån för noggrant designade RSA-tokens och smartkort.

Attacker på SMS som andra faktor är inte längre teoretiska utan flera miljoner dollar brott. Att kompromissa med telefonen är det mest enkla framåtriktade tillvägagångssättet och användes åtminstone i denna 47 miljoner dollar heist.

Kloning av SIM-kortet kan vara mycket lättare när socialteknik kommer in i bilden. Kloning är fortfarande svårt och kan inte skala som SMS-avlyssning kan. Och du behöver inte bygga ditt eget krackningssystem, du kan köpa det i stora eller små förpackningar.

Och precis när du tror att andra faktorn är säker och du kan lita på den, överväga man-i-webbläsaren typ av attack.

En gammal metod kallas SIM-kortpartitionering och är en sidokanalattackmetod som hämtar nyckeldata från SIM-kort genom att övervaka sidokanaler som strömförbrukning och elektromagnetiska utstrålningar. Tekniken kräver viss fysisk närhet och kan extrahera hemliga kryptografiska nycklar på några minuter. Tidigare skulle en angripare behöva åtkomst till ett SIM-kort i minst åtta timmar för att utföra en framgångsrik attack.

Tidigare använde angripare information från telefonbolagets insiders för att klona SIM-kort och sedan begå bankbedrägerier. För närvarande finns det en våg av SIM-bytesbedrägerier i Sydafrika där angripare lurar telefonföretaget att ge dem ett nytt SIM-kort.

Skydda mot dessa genom att först informera dig om hot och god säkerhetspraxis. En checklista över saker du kan göra kan skydda mot vanliga fallgropar, men att ha en säkerhetsinriktning kommer att ta dig längre.

Det har gjorts när du använder två faktorer som har skrivits in i datorer (och direkt på bankomater; se länken längst ner för ATM 2-faktor SMS-problem).

KrebsOnSecurity.com-bloggen listar många banktheister, inklusive den här:

https://krebsonsecurity.com/category/smallbizvictims/page/4/

"Året innan cyber stöld, hade Comerica bytt från att använda digitala certifikat till att kräva att kommersiella kunder skulle ange ett engångskod från en säkerhetstoken. Webbplatsen som länkades till i e-postmeddelandet bad om den koden och Maslowski följde. Inom ett par timmar , gjorde angriparna 97 banköverföringar från EMIs konto till bankkonton i Kina, Estland, Finland, Ryssland och Skottland. "

Krebs håller på med detta och har en speciell kategori för banheheister:

https://krebsonsecurity.com/category/smallbizvictims/

Brutal!!

De viktigaste punkterna jag har hämtad från sin blogg:

• banker ersätter INTE för cyberbedrägerier mot affärer konton! (till skillnad från konsumentkonton).

• Tvåfaktors eller valfritt antal datordatorverifiering är riskabelt om bokföringsavdelningens datorer har tagits över av hackare. (En Krebs-berättelse beskrev en annan eheist från ett företag som krävde att en anställd och chef separat i sina webbläsare skulle bekräfta överföringar över X; men hackarna hade "ägt" båda datorerna och stulit båda uppsättningarna av referenser.)

• Någon "utom band" -verifiering är bäst, t.ex. ett telefonsamtal till en eller två anställda / chefer för överföringar skulle ha motverkat nästan alla eller alla eheisterna Kreb rapporterade .

• Windows-datorer är en gigantisk risk för kommersiell nätbank.

• För kommersiell internetbank på en Windows-dator, starta tillfälligt från en gratis LiveCD Ubuntu Linus DVD, som laddar Firefox och tillåter ren onlinebank eftersom virus inte kan skriva till DVD och alla virus på Windows-datorn kommer att vara vilande tills datorn startar om till Windows.

(Flera av mina företagskunder startar från LiveCD på sina Windows-datorer när de behöver använda kommersiell nätbank.)

För hela skräck, läs igenom några års värde av Krebs småföretagshistorier. De skickade rysningar genom mina IT-småföretagskunder.

==========

När det gäller tjuvar som slår 2-faktor på bankomater har det gjorts i Europa. Virusinfekterade datorer OCH telefoner och offer drabbades av kontouttag som bankerna inte trodde var bedrägliga förrän de monterade:

http://dkmatai.tumblr.com/post/37277877990/sophisticated-smartphone -hacking-36 miljoner euro

Tja, en av de bästa verkliga banksäkerhetsincidenterna är Operation Emmental vilket är ett utmärkt exempel på att hitta allvarliga säkerhetshål i Banking 2FA-system.

Attacken är utformad för att kringgå ett visst tvåfaktorsautentiseringsschema som används av banker. I synnerhet kringgår det sessionstoken, som ofta skickas tousers mobila enheter via SMS. Användare förväntas gå in i en sessionstoken för att aktivera banksessioner så att de kan autentisera sina identiteter. Eftersom denna token skickas genom en separat kanal anses denna metod i allmänhet vara säker.

Jag rekommenderar att du läser analysen av denna cyberattack i denna vitbok . Det finns också många publicerade analyser som förklarar händelsen.

Vad jag verkligen gillar med attacken är hur elegant och elegant det var :)