Взломана "совершенная защита" Bank of America

Защита онлайновой системы платежей Bank of America - SiteKey - оказалась бессильной перед пытливым исследователем систем безопасности Кристофером Согойаном (Christopher Soghoian). Об этом стало известно накануне, когда Согойан распространил демонстрационное видео успешного случая фишинга. 

До сих пор представители банка называли систему SiteKey совершенной: для авторизации на сайте банка клиенту предлагается выбрать легко узнаваемую картинку. Сначала пользователь вводит идентификатор своего счета и место жительства, после чего отвечает на контрольный вопрос. Далее клиент должен идентифицировать известную только ему картинку и ввести пароль.

Как сообщает CNews, уязвимость в системе защиты Bank of America была вскрыта в результате использования посреднического кода, который отправлял вводимые данные на настоящий сайт банка и получал оттуда все авторизационные данные клиента, включая картинку-ключ.

Таким образом Согойан подтвердил, что подобной схемы безопасности, применяемой отдельно, а не в комплексе, недостаточно для защиты. Более того, результаты одного из последних исследований свидетельствуют о том, что 92% клиентов банков не обращают никакого внимания на картинку-ключ и вводят свой пароль даже в том случае, если им показывается другая картинка.