หมายเลขยืนยันธุรกรรม

Q: ดัชนี TAN พร้อม CAPTCHA (iTANplus)

ก่อนป้อนหมายเลข iTAN ผู้ใช้จะเห็น CAPTCHA ซึ่งในเบื้องหลังจะแสดงข้อมูลการทำธุรกรรมและข้อมูลที่ผู้โจมตีอาจไม่ทราบ เช่น วันเกิดของผู้ใช้ จุดประสงค์คือเพื่อให้ผู้โจมตีปลอมแปลง CAPTCHA ได้ยาก (แต่ไม่ใช่เป็นไปไม่ได้)

หมายเลขยืนยันธุรกรรม ( TAN ) ถูกใช้โดยบริการธนาคารออนไลน์บางแห่งในรูปแบบ ของรหัสผ่าน ใช้ครั้งเดียว (OTP) เพื่ออนุมัติธุรกรรมทางการเงิน TAN เป็นระบบรักษาความปลอดภัยชั้นที่สองที่เหนือกว่า การยืนยัน ตัวตนด้วยรหัสผ่าน แบบ ดั้งเดิม

รหัส TAN ให้ความปลอดภัยเพิ่มเติมเนื่องจากทำหน้าที่เป็นรูปแบบหนึ่งของการตรวจสอบสิทธิ์แบบสองขั้นตอน (2FA) หากเอกสารหรือโทเค็นที่มีรหัส TAN ถูกขโมยไป ก็จะไม่สามารถใช้งานได้หากไม่มีรหัสผ่าน ในทางกลับกัน หากข้อมูลการเข้าสู่ระบบถูกขโมยไป จะไม่สามารถทำธุรกรรมใดๆ ได้หากไม่มีรหัส TAN ที่ถูกต้อง

สีแทนคลาสสิก

โดยทั่วไปแล้ว TAN จะทำงานดังนี้:

ธนาคารสร้างชุด TAN ที่ไม่ซ้ำกันสำหรับผู้ใช้^{[ 1 ]} โดยทั่วไปจะมี TAN พิมพ์อยู่ในรายการ 50 รายการ ซึ่งเพียงพอสำหรับผู้ใช้ทั่วไปเป็นเวลาครึ่งปี โดยแต่ละ TAN มีความยาวหกหรือแปดตัวอักษร
ผู้ใช้สามารถไปรับรายชื่อได้ที่สาขาธนาคารที่ใกล้ที่สุด (โดยแสดงหนังสือเดินทางบัตรประจำตัวประชาชนหรือเอกสารที่คล้ายคลึงกัน) หรือจะได้รับรายชื่อ TAN ทางไปรษณีย์
รหัสผ่าน (PIN) จะถูกส่งทางไปรษณีย์แยกต่างหาก
ในการเข้าสู่ระบบบัญชี ผู้ใช้ต้องป้อนชื่อผู้ใช้ (โดยปกติคือหมายเลขบัญชี) และรหัสผ่าน ( PIN ) ซึ่งอาจทำให้เข้าถึงข้อมูลบัญชีได้ แต่จะไม่สามารถทำธุรกรรมได้
ในการทำธุรกรรม ผู้ใช้จะต้องป้อนคำขอและอนุมัติธุรกรรมโดยการป้อนหมายเลข TAN ที่ยังไม่เคยใช้งาน ธนาคารจะตรวจสอบหมายเลข TAN ที่ส่งมากับรายการหมายเลข TAN ที่ธนาคารออกให้แก่ผู้ใช้ หากตรงกัน ธุรกรรมจะได้รับการดำเนินการ หากไม่ตรงกัน ธุรกรรมจะถูกปฏิเสธ
รหัส TAN นี้ถูกใช้งานไปแล้วและจะไม่สามารถนำมาใช้ในการทำธุรกรรมใดๆ อีกต่อไป
หากรายชื่อ TAN ถูกบุกรุก ผู้ใช้สามารถยกเลิกได้โดยแจ้งให้ธนาคารทราบ

อย่างไรก็ตาม เนื่องจาก TAN ใดๆ ก็สามารถใช้สำหรับการทำธุรกรรมใดๆ ก็ได้ TAN จึงยังคงเสี่ยงต่อการโจมตีแบบฟิชชิ่งซึ่งเหยื่อจะถูกหลอกให้ป้อนทั้งรหัสผ่าน/PIN และ TAN หนึ่งตัวหรือหลายตัว นอกจากนี้ TAN ยังไม่ให้การป้องกันการโจมตีแบบคนกลาง (man-in-the-middle)ซึ่งผู้โจมตีจะดักจับการส่ง TAN และนำไปใช้ในการทำธุรกรรมปลอม เช่น เมื่อระบบของลูกค้าถูกโจมตีด้วยมัลแวร์ บางรูปแบบ ที่ทำให้ผู้ใช้ที่เป็นอันตราย สามารถ เข้าถึงได้ แม้ว่า TAN ที่เหลือจะไม่ได้รับผลกระทบและสามารถใช้งานได้อย่างปลอดภัย แต่โดยทั่วไปแล้วผู้ใช้ควรดำเนินการเพิ่มเติมโดยเร็วที่สุด

ดัชนี TAN (iTAN)

หมายเลข TAN ที่มีดัชนีช่วยลดความเสี่ยงจากการหลอกลวงทางออนไลน์ ในการอนุมัติธุรกรรม ผู้ใช้จะไม่ถูกขอให้ใช้หมายเลข TAN ใดๆ จากรายการ แต่จะต้องป้อนหมายเลข TAN เฉพาะที่ระบุโดยหมายเลขลำดับ (ดัชนี) เนื่องจากดัชนีถูกเลือกแบบสุ่มโดยธนาคาร หมายเลข TAN ใดๆ ที่ผู้โจมตีได้รับมาจึงมักไม่มีค่าอะไร

อย่างไรก็ตาม iTAN ยังคงมีความเสี่ยงต่อการโจมตีแบบ man-in-the-middleรวมถึงการโจมตีแบบฟิชชิ่งที่ผู้โจมตีหลอกให้ผู้ใช้ล็อกอินเข้าสู่เว็บไซต์ปลอมของธนาคาร และการโจมตีแบบ man-in-the-browser ^{[ 2 ]}ซึ่งทำให้ผู้โจมตีสามารถสลับรายละเอียดธุรกรรมในเบื้องหลังของพีซีได้อย่างลับๆ รวมถึงซ่อนธุรกรรมจริงที่ผู้โจมตีดำเนินการในภาพรวมบัญชีออนไลน์^{[ 3 ]}

ดังนั้นในปี 2012 หน่วยงานด้านความปลอดภัยเครือข่ายและข้อมูลของสหภาพยุโรปจึงแนะนำให้ธนาคารทุกแห่งพิจารณาว่าระบบพีซีของผู้ใช้อาจติดมัลแวร์โดยค่าเริ่มต้น และใช้กระบวนการรักษาความปลอดภัยที่ผู้ใช้สามารถตรวจสอบข้อมูลธุรกรรมเพื่อป้องกันการเปลี่ยนแปลงแก้ไข เช่น (หากระบบรักษาความปลอดภัยของโทรศัพท์มือถือยังคงใช้งานได้) เครื่องอ่าน mTANหรือสมาร์ทการ์ดที่มีหน้าจอของตัวเอง ซึ่งรวมถึงข้อมูลธุรกรรมในกระบวนการสร้าง TAN ในขณะที่แสดงให้ผู้ใช้เห็นล่วงหน้า ( chipTAN ) ^{[ 4 ]}

ดัชนี TAN พร้อม CAPTCHA (iTANplus)

ก่อนป้อนหมายเลข iTAN ผู้ใช้จะเห็นCAPTCHAซึ่งในเบื้องหลังจะแสดงข้อมูลการทำธุรกรรมและข้อมูลที่ผู้โจมตีอาจไม่ทราบ เช่น วันเกิดของผู้ใช้ จุดประสงค์คือเพื่อให้ผู้โจมตีปลอมแปลง CAPTCHA ได้ยาก (แต่ไม่ใช่เป็นไปไม่ได้)

รูปแบบ iTAN นี้เป็นวิธีการที่ธนาคารเยอรมันบางแห่งใช้ โดยเพิ่มCAPTCHAเพื่อลดความเสี่ยงจากการโจมตีแบบ man-in-the-middle ^{[ 5 ]}ธนาคารจีนบางแห่งได้นำวิธีการ TAN ที่คล้ายกับ iTANplus มาใช้เช่นกัน การศึกษาล่าสุดแสดงให้เห็นว่าแผนการ TAN ที่ใช้ CAPTCHA เหล่านี้ไม่ปลอดภัยต่อการโจมตีอัตโนมัติขั้นสูง^{[ 6 ]}

อุปกรณ์ TAN แบบพกพา (mTAN)

mTAN ถูกใช้โดยธนาคารในออสเตรีย บัลแกเรีย สาธารณรัฐเช็ก เยอรมนี ฮังการี มาเลเซีย เนเธอร์แลนด์ โปแลนด์ รัสเซีย สิงคโปร์ แอฟริกาใต้ สเปน สวิตเซอร์แลนด์ และบางแห่งในนิวซีแลนด์ ออสเตรเลีย สหราชอาณาจักร และยูเครน เมื่อผู้ใช้เริ่มทำธุรกรรม ธนาคารจะสร้าง TAN และส่งไปยังโทรศัพท์มือถือของผู้ใช้ทางSMSข้อความ SMS อาจมีข้อมูลธุรกรรมรวมอยู่ด้วย ทำให้ผู้ใช้สามารถตรวจสอบได้ว่าธุรกรรมนั้นไม่ได้ถูกแก้ไขระหว่างการส่งไปยังธนาคาร

อย่างไรก็ตาม ความปลอดภัยของแผนการนี้ขึ้นอยู่กับความปลอดภัยของระบบโทรศัพท์มือถือ ในแอฟริกาใต้ ซึ่งรหัส TAN ที่ส่งผ่าน SMS เป็นเรื่องปกติ การโจมตีรูปแบบใหม่ได้ปรากฏขึ้น นั่นคือ การฉ้อโกงโดยการสลับซิมวิธีการโจมตี ทั่วไป คือ ผู้โจมตีจะปลอมตัวเป็นเหยื่อ และขอรับซิมการ์ด ทดแทน สำหรับโทรศัพท์ของเหยื่อจากผู้ให้บริการเครือข่ายมือถือชื่อผู้ใช้และรหัสผ่านของเหยื่อจะได้รับมาด้วยวิธีอื่น (เช่นการดักจับแป้นพิมพ์หรือการฟิชชิ่ง ) ระหว่างที่ได้รับซิมที่ถูกโคลน/ทดแทน และเหยื่อสังเกตเห็นว่าโทรศัพท์ของตนใช้งานไม่ได้อีกต่อไป ผู้โจมตีสามารถโอน/ถอนเงินของเหยื่อจากบัญชีของพวกเขาได้^{[ 7 ]}ในปี 2016 มีการศึกษาเกี่ยวกับการฉ้อโกงโดยการสลับซิมโดยวิศวกรสังคมซึ่งเผยให้เห็นจุดอ่อนในการออกหมายเลขโอนย้าย

ในปี 2014 มีการเผยแพร่จุดอ่อนในระบบส่งสัญญาณหมายเลข 7ที่ใช้สำหรับการส่งข้อความ SMS ซึ่งทำให้สามารถดักฟังข้อความได้ โทเบียส เอ็งเกล ได้สาธิตเรื่องนี้ในระหว่างการประชุม Chaos Communication Congress ครั้งที่ 31 ^{[ 8 ]} ในช่วงต้นปี 2017 จุดอ่อนนี้ถูกนำไปใช้สำเร็จในประเทศเยอรมนีเพื่อดักฟัง SMS และเปลี่ยนเส้นทางการโอนเงินอย่างฉ้อฉล^{[ 9 ]}

นอกจากนี้ การเพิ่มขึ้นของสมาร์ทโฟนยังนำไปสู่การโจมตีด้วยมัลแวร์ที่พยายามแพร่เชื้อไปยังพีซีและโทรศัพท์มือถือพร้อมกันเพื่อทำลายระบบ mTAN ^{[ 10 ]}

pushTAN

pushTAN เป็นแอปพลิเคชัน TAN ที่ใช้โดยกลุ่มธนาคาร Sparkassen ของเยอรมนี ซึ่งช่วยลดข้อบกพร่องบางประการของ ระบบ mTANโดยขจัดค่าใช้จ่ายในการส่งข้อความ SMS และไม่เสี่ยงต่อการฉ้อโกงซิมการ์ด เนื่องจากข้อความจะถูกส่งผ่านแอปพลิเคชันส่งข้อความพิเศษไปยังสมาร์ทโฟนของผู้ใช้โดยใช้การเชื่อมต่ออินเทอร์เน็ตที่เข้ารหัส เช่นเดียวกับ mTAN ระบบนี้ช่วยให้ผู้ใช้สามารถตรวจสอบรายละเอียดการทำธุรกรรมเพื่อป้องกันการเปลี่ยนแปลงที่ซ่อนอยู่ซึ่งดำเนินการโดยโทรจันบนพีซีของผู้ใช้ โดยการรวมรายละเอียดการทำธุรกรรมจริงที่ธนาคารได้รับไว้ในข้อความ pushTAN แม้ว่าจะคล้ายกับการใช้ mTAN กับสมาร์ทโฟน แต่ก็มีความเสี่ยงที่จะเกิดการติดมัลแวร์พร้อมกันทั้งในพีซีและสมาร์ทโฟน เพื่อลดความเสี่ยงนี้ แอป pushTAN จะหยุดทำงานหากอุปกรณ์มือถือถูกรูทหรือเจลเบรก^{[ 11 ]}ในช่วงปลายปี 2014 ธนาคาร Deutsche Kreditbank (DKB) ก็ได้นำระบบ pushTAN มาใช้เช่นกัน^{[ 12 ]}

เครื่องกำเนิดไฟฟ้า TAN

เครื่องกำเนิด TAN แบบง่าย

ความเสี่ยงในการรั่วไหลของรายชื่อ TAN ทั้งหมดสามารถลดลงได้โดยการใช้โทเค็นความปลอดภัยที่สร้าง TAN แบบเรียลไทม์ โดยอิงจากรหัสลับที่ธนาคารทราบและจัดเก็บไว้ในโทเค็นหรือสมาร์ทการ์ดที่เสียบเข้าไปในโทเค็น

อย่างไรก็ตาม รหัส TAN ที่สร้างขึ้นไม่ได้เชื่อมโยงกับรายละเอียดของธุรกรรมใดธุรกรรมหนึ่งโดยเฉพาะ เนื่องจากรหัส TAN สามารถใช้ได้กับทุกธุรกรรมที่ส่งเข้ามา จึงไม่สามารถป้องกัน การโจมตี แบบฟิชชิ่งที่ผู้โจมตีใช้รหัส TAN โดยตรง หรือการโจมตีแบบคนกลางได้

ชิปแทน / สมาร์ทแทน / การ์ดแทน

ChipTAN เป็นรูปแบบ TAN ที่ธนาคารเยอรมันและออสเตรียหลายแห่งใช้^{[ 13 ]}^{[ 14 ]}^{[ 15 ]}เป็นที่รู้จักกันในชื่อ ChipTAN หรือ Sm@rt-TAN ^{[ 16 ]}ในเยอรมนี และในชื่อ CardTAN ในออสเตรีย ในขณะที่ CardTAN เป็นมาตรฐานที่เป็นอิสระทางเทคนิค^{[ 17 ]}

เครื่องสร้าง ChipTAN ไม่ได้ผูกติดกับบัญชีใดบัญชีหนึ่งโดยเฉพาะ ผู้ใช้ต้องเสียบบัตรธนาคารขณะใช้งาน TAN ที่สร้างขึ้นจะเฉพาะเจาะจงกับบัตรธนาคารนั้นๆ รวมถึงรายละเอียดการทำธุรกรรมปัจจุบันด้วย มีสองรูปแบบ: ในรูปแบบเก่า รายละเอียดการทำธุรกรรม (อย่างน้อยจำนวนเงินและหมายเลขบัญชี) ต้องป้อนด้วยตนเองในรูปแบบที่ทันสมัย ผู้ใช้จะป้อนรายการธุรกรรมออนไลน์ จากนั้นเครื่องสร้าง TAN จะอ่านรายละเอียดธุรกรรมผ่านบาร์โค้ด ที่กะพริบ อยู่บนหน้าจอคอมพิวเตอร์ (โดยใช้โฟโตดีเทคเตอร์ ) หลังจากนั้นจะแสดงรายละเอียดธุรกรรมบนหน้าจอของตนเองให้ผู้ใช้ยืนยันก่อนที่จะสร้าง TAN

เนื่องจากเป็นฮาร์ดแวร์อิสระที่เชื่อมต่อกันด้วยช่องทางการสื่อสาร อย่างง่ายเท่านั้น เครื่องสร้าง TAN จึงไม่เสี่ยงต่อการโจมตีจากคอมพิวเตอร์ของผู้ใช้ แม้ว่าคอมพิวเตอร์จะถูกแทรกแซงด้วยมัลแวร์ประเภทโทรจันหรือ เกิด การโจมตีแบบคนกลาง (man-in-the-middle attack)ก็ตาม TAN ที่สร้างขึ้นจะมีผลใช้ได้เฉพาะกับธุรกรรมที่ผู้ใช้ยืนยันบนหน้าจอของเครื่องสร้าง TAN เท่านั้น ดังนั้น การแก้ไขธุรกรรมย้อนหลังจะทำให้ TAN นั้นใช้การไม่ได้

ข้อดีเพิ่มเติมของระบบนี้คือ เนื่องจากเครื่องสร้างรหัส TAN เป็นแบบทั่วไปที่ต้องเสียบการ์ดเข้าไป จึงสามารถใช้กับบัญชีหลายบัญชีในธนาคารต่างๆ ได้ และการสูญหายของเครื่องสร้างรหัสก็ไม่ถือเป็นความเสี่ยงด้านความปลอดภัย เพราะข้อมูลสำคัญด้านความปลอดภัยจะถูกจัดเก็บไว้ในบัตรธนาคาร

แม้ว่าโครงการ ChipTAN จะให้การป้องกันจากการบิดเบือนทางเทคนิค แต่ก็ยังคงมีความเสี่ยงต่อการหลอกลวงทางสังคมผู้โจมตีพยายามโน้มน้าวให้ผู้ใช้ยินยอมให้โอนเงินโดยใช้ข้ออ้าง เช่น อ้างว่าธนาคารต้องการ "การโอนทดสอบ" หรือว่าบริษัทได้โอนเงินเข้าบัญชีของผู้ใช้โดยไม่ถูกต้อง และพวกเขาควร "ส่งเงินคืน" ^{[ 2 ]}^{[ 18 ]}ดังนั้น ผู้ใช้ไม่ควรยืนยันการโอนเงินผ่านธนาคารที่ตนเองไม่ได้เริ่มต้น

ChipTAN ยังใช้เพื่อรักษาความปลอดภัยการโอนแบบกลุ่ม ( Sammelüberweisungen ) ด้วย อย่างไรก็ตาม วิธีนี้ให้ความปลอดภัยน้อยกว่าการโอนแบบรายบุคคลอย่างมาก ในกรณีของการโอนแบบกลุ่ม ตัวสร้าง TAN จะแสดงเฉพาะจำนวนและยอดรวมของการโอนทั้งหมดรวมกันเท่านั้น ดังนั้นสำหรับการโอนแบบกลุ่มจึงมีการป้องกันน้อยมากจากการถูกแทรกแซงโดยโทรจัน^{[ 19 ]}ช่องโหว่นี้ได้รับการรายงานโดย RedTeam Pentesting ในเดือนพฤศจิกายน 2009 ^{[ 20 ]}เพื่อเป็นการตอบสนอง ธนาคารบางแห่งได้เปลี่ยนการจัดการการโอนแบบกลุ่มเพื่อให้การโอนแบบกลุ่มที่มีเพียงรายการเดียวได้รับการปฏิบัติเหมือนกับการโอนแบบรายบุคคล

ดูเพิ่มเติม

[ 1 ]

[ 2 ]

[ 3 ]

[ 4 ]

[ 5 ]

[ 6 ]

[ 7 ]

[ 8 ]

[ 9 ]

[ 10 ]

[ 11 ]

[ 12 ]

[ 13 ]

[ 14 ]

[ 15 ]

[ 16 ]

[ 17 ]

[ 18 ]

[ 19 ]

[ 20 ]