Как можно взломать OTP?

При переводе денег через Интернет или через некоторые сервисы в Интернете мы часто имеем дело с OTP. OTP – это сокращение от первых трех букв одноразового пароля, что означает, что используется одноразовый пароль. И, конечно же, этот одноразовый пароль будет работать только один раз и больше не будет работать для использования в будущем.

1. Зачем использовать OTP?

При совершении денежных переводов через Интернет вам необходимо иметь учетную запись для входа в мобильное приложение или с помощью SMS. И пользователи будут входить в систему с фиксированным паролем или также называемым статическим паролем, когда вы используете пароль Facebook, Gmail,.

Однако после входа в систему система должна проверить, являетесь ли вы «владельцем реальной учетной записи», а не системой, запрограммированной для взлома учетной записи, поэтому она отправит нам случайный код и, пожалуйста, войдите в веб-приложение или мобильное приложение, чтобы завершить транзакцию. .

Изображение 1 из Как можно взломать OTP?

OTP будет отправлен нам по электронной почте, SMS или на устройство под названием Token. И после того, как пользователь вводит этот OTP-код для завершения транзакции, он больше не будет действительным, более безопасным для слишком большого платежа.

Однако действительно ли это самый безопасный метод безопасности?

2. Могут ли хакеры украсть деньги без использования одноразового пароля?

Случай 1. На вашем смартфоне был установлен вредоносный код (взломанное устройство iOS часто менее рискованно, а Android легко становится жертвой).

Сначала хакеры установят вредоносный код под одно привлекательное приложение (18+, например, взломайте Pokemon Go) и соблазнят вас загрузить и установить на смартфон.

После этого приложению потребуется разрешение на чтение / удаление сообщений – большинство пользователей в настоящее время не заботятся о доступе при установке приложения. Они просто следующий, следующий и только следующий.

Далее вредоносное приложение украдет данные пользователя (это может быть логин учетной записи в банке, кредитная карта, сохраненные в веб-браузере).

После получения учетной записи хакер переведет деньги через интернет-банк. Конечно, в это время на смартфон жертвы будет отправлено OTP SMS. Еще раз, другое приложение прочитает OTP и отправит его обратно хакеру и удалит другой OTP SMS.

И так деньги на вашем счету пропали, на смартфоне не осталось и следа.

Изображение 2 из Как можно взломать OTP?

Режим работы вредоносных приложений

Случай 2: Фишинг через электронную почту / поддельный веб-сайт (поддельная электронная почта, фишинговый веб-сайт)

Хакеры обманывают жертву с помощью поддельного электронного письма с убедительным содержанием: получают неожиданные награды, оплачивают счета и т. Д. Ссылка в этом письме ведет на поддельный веб-сайт, но имеет тот же интерфейс / функцию. с реальным сайтом банка.

Поддельный веб-сайт требует, чтобы пользователи входили в систему с именем пользователя / паролем и некоторой другой информацией.

Прочтите здесь, вы, вероятно, задаетесь вопросом, нужно ли подтверждать транзакцию с помощью кода OTP, но как хакеры могут получить OTP с телефона пользователя для успешного перевода денег?

Изображение 3 из Как можно взломать OTP?

3. Smart OTP – уязвимости безопасности банков?

Авторизация другого устройства, а не телефона пользователя, может сгенерировать код, эквивалентный OTP, для завершения транзакции.

Smart OTP – это программный токен-ключ – программное обеспечение, которое предоставляет OTP-код, устанавливается на мобильный телефон клиента и прикрепляется только к учетной записи входа в eBank. Это программное обеспечение обычно разрабатывается банком, и срок его действия истекает только при отмене.

Изображение 4 из Как можно взломать OTP?

Ключевые приложения с мягкими токенами опасны

Обычно при каждом переводе денег пользователи получают одноразовый пароль по SMS для аутентификации. Но при использовании Smart OTP это приложение потребует аутентификации только по номеру телефона в первый раз – и только!

С этого момента, когда пользователям необходимо перевести деньги, они просто вводят код транзакции в приложение Smart OTP, чтобы получить другой код (с тем же эффектом, что и OTP) для аутентификации транзакций в интернет-банке.

Использование Smart OTP на другом устройстве похоже на раскрытие кода безопасности, остальное им нужно сделать, это найти ключ – гораздо более простая задача.

Надеюсь, эта статья будет вам полезна!

Похожие записи

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *