Уязвимы ли Pin-коды банков?

Уязвимость, открытая в онлайновой системе платежей банка HSBC, не представляет угрозы, считают некоторые специалисты.
Газета The Guardian сообщила о том, что из-за дыры в системе безопасности банк подвергал опасности счета 3,1 млн. клиентов в течение двух лет. Статья была основана на исследованиях, проведенных в университете Кардифф. Уязвимость, детали которой не приводились, могла быть использована при наличии клавиатурного шпиона на компьютере пользователя.

Для доступа к счету через сайт требуется ввести пароль из букв и цифр, дату рождения и персональный идентификационный номер (PIN). Эксперты университета Кардифф утверждают, что хакеру достаточно было девяти входов пользователя, чтобы собрать клавиатурным шпионом данные, необходимые для доступа в систему. Грэм Клули (Graham Cluley), старший технологический консультант британской антивирусной компании Sophos, считает, что информация о серьезности уязвимости преувеличена, и пока Кардифф не представит достаточную информацию, нельзя говорить о ней наверняка. Он согласен, что девяти попыток хватит, но считает, что это слишком сложный вид атаки. То же самое говорят и в банке – атака требует слишком много времени и внимания, затрачиваемого на одну жертву, и, следовательно, невыгодна для грабителей.

По крайней мере, за указанные два года ее никто не применил, утверждают в HSBC. Алан Филипс (Alan Phillips), исполнительный директор компании ИТ-безопасности 7Safe, считает, что клавиатурных шпионов можно обмануть. Например, использовать экранную клавиатуру Windows XP или ту, которую банк предоставляет на сайте для ввода конфиденциальной информации. Клули не соглашается: среди клавиатурных шпионов существуют такие, которые перехватывают и ввод с экранной клавиатуры.

Другая система защиты, выпадающие окна с буквами, также ненадежна, потому что и с них можно снять информацию. На всякий случай, Клули посоветовал всем устанавливать последние обновления антивирусов и не открывать вложения в незнакомых письмах.

Источник

 

Чего тут нового?