Прочитај ми чланак
Фотографија: Адријан Фортуна показује своју машину за новац на ZeroNights 2013 (Via Youtube/hackerzvoice)
Румунски истраживач сигурности је направио машину која може да искористи ситни новац који можете добити када тргујете валутама преко онлајн банкарских апликација. Заобилазећи уређај за сигурну аутентификацију, машина је у стању да спроведе хиљаде трансакција дневно и надзире како се ситне парице сабирају.
Адријан Фуртуна, испитивач пенетрација у КПМГ Румунија, говорио је о свом хаковању на презентацији на ZeroNights 2013 конференцији раније овог месеца (што је снимио ББЦ ). У суштини, ради се о експлоатације начина како банкарске апликације заокружују мале износе, нагоре или доле, у неким онлајн трансакцијама. Фуртуна је запазио да када је промени румунски леј за евро, понекад стекне врло малу количину новца, а понекад је изгуби, зависно од тачне вредности трансакције. То је зато што се размењени износ увек заокружује на две децималне бројке – па ако пребаци 8,3436 евра на свој рачун, то се заокружује на 8.34 евра и банка је“добила“ 0.0036 евра, али ако пребаци 8,3478, што се заокружује на 8.35 евра, он је „добио“ 0.0022 евра.
Звуче као мали износи: највише што може да се направи од једне такве трансакције је мање од ситниша, износ од 0,005 евра. Међутим, прављењем машине која може да обави 14 400 трансакција током 24 часа, Фуртуна је могао генерише до 68 евра дневно. Није лоше за један радни дан – ако си машина, у сваком случају.
Видео: Адријан Фортуна показује своју машину за новац на ZeroNights 2013 (Via Youtube/hackerzvoice)
Проблем који је Фуртунина машина морала да реши је аутоматизација процеса ауторизације потребне да се обави трансакција преко банкарске апликације коју је користио. Апликација му је обично тражила да прво унесе свој ПИН у безбедносни апарат, а затим да унесе још једну шифру генерисану од уређаја за трансакције. Његова машина превазилази потребу људског инпута, међутим, самим читањем кода и притиском дугмади „машина заправо симулира људско понашање када је у интеракцији са таквим уређајем“, објаснио је он у свом излагању.
Машина је први пут унела његов ПИН притиском надоле тегова распоређених преко нумеричких тастера на сигурносном уређају. Веб камера усмерена на екран уређаја чита код, који тумачи помоћу оптичког препознавања карактера (OCR). Тегови затим притисну тачан број тастера и voilà, после само шест секунди, трансакција је завршена. Ако скочите на 29.14 минут видеа Фуртунине презентације, можете видети сцену машине у акцији.
У својим документима презентације, Фуртуна је наговестио шта би овај систем могао да уради, ако се прошири. „Шта ако радимо паралелно (на више банковних рачуна)?“, написао је он. „Машина за прављење новца?“ Његов рад није профитни и био је тестиран само у лабораторији, не у живом банкарском систему – али ако би се ставио у праксу, могао би да нагребе око 2000 евра месечно.
Фуртуна је понудио нека решења за банке које желе да заштите своје апликације против ове рањивости. Он је предложио да се ограничи број трансакција које особа може да изврши у одређеном року, одреди минимални износ дозвољене трансакције, или уведе мала накнада за размену валуте. Банке би такође могле да прате сумњиво бројне трансакције малих износа и учине их незаконитим. Према инжењеру безбедности цитираном у извештају ББЦ-а, садашњи банковни системи против злоупотреба вероватно већ изазивају некога да покуша да направи хиљаде малих трансакција.
Фуртуна је одбио да открије на систему које банке је тестирао свој хакерај, рекао је: „Нашао сам овај проблем у више банковних апликација, у банкама које су познате у неколико земаља.“
За Србин.инфо превео: Александар Јовановић
