Исследователь систем безопасности Кристофер Согойан (Christopher Soghoian) продемонстрировал уязвимость защиты онлайновой системы платежей Bank of America, которую сам банк до сих пор называл «совершенной» - SiteKey.
Защитная система под названием SiteKey, как предполагали разработчики, должна была исключить возможность фишинга. Исследователь снял демонстрационное видео успешного случая фишинга.
Sitekeys, или «ключи для сайта» предлагают пользователю выбрать легко узнаваемую картинку. Вход на сайт осуществляется в три этапа. На первом необходимо ввести идентификатор своего счёта и место жительства. На втором ему задают один из контрольных вопросов, а на третьем -
показывают картинку, которая известна только на настоящем сайте, и просят ввести пароль.
Суть взлома заключалась в использовании посреднического кода, который отправлял вводимые данные на настоящий сайт и получал оттуда всё, включая картинку-ключ.
В качестве морали своей работы исследователь отметил, что нельзя доверять сайту всего лишь на основе картинки. «Этой схемы безопасности, применяемой отдельно, а не в комплексе, недостаточно для защиты в онлайне», - сказал он.
Впрочем, по данным одного исследования, на картинку-ключ мало кто обращал внимание. 92% людей, среди которых проводилось исследование, вводили свой пароль даже в том случае, если им показывали другую.
Интересные материалы: все новости
|