Az it-biztonsági szakemberek visszatérő mantrája, hogy a felhasználók a saját biztonságuk érdekében állítsanak be kétlépcső azonosítást a webes szolgáltatásokhoz: a jelszó mellé például ujjlenyomatolvasást is kérjenek, vagy smsben küldött belépési kódot válasszanak. Utóbbiról viszont kiderült, hogy ezt is könnyen ki tudják játszani a csalók: a Microsoft figyelmeztetett most arra, hogy az smst használó kétfaktoros azonosítás nem a legbiztonságosabb, és az IBM Trusteer kutatói fel is fedeztek egy új lopási módszert.
Csalóknak több millió dollárt sikerül online bankfiókokról ellopnia úgy, hogy telefonos emulátorokat használtak. Ezek segítségével sikerül megtéveszteniük a bankok beléptető rendszerét, és 16 ezernyi felhasználói mobilt „utánoztak”, ami azt jelenti, hogy sikerült az smsben kapott azonosítóval belépjenek olyan fiókokba, melyek adatait korábban valamilyen módon megszerezték – írja a Computerworld a módszerről, aminek a lényege az, hogy úgy tettek, mintha a felhasználók próbálnának hozzáférni számlájukhoz, viszont a visszaigazoló kód nem az eredeti tulajdonos mobiljára érkezett, hanem a csalók által futtatott virtuális telefonokra.
„Az adatforrások, szkriptek és egyedi alkalmazások, melyeket a támadók készítettek, egy átfogó, automatizált folyamat részei voltak, melyek olyan sebességet biztosítottak számukra, melynek köszönhetően több millió dollárt tudtak kicsalni az áldozatul esett bankoktól.” – olvasható az IBM Trusteer közleményében.
