거래인증번호

Transaction authentication number

Transaction Authentication Number(TAN; 트랜잭션 인증번호)는 일부 온라인 뱅킹서비스에서 금융거래를 허가하기 위한 One-Use One-Time Password(OTP; 원타임패스워드)의 형태로 사용됩니다.TAN은 기존 단일 비밀번호 인증 이상의 두 번째 보안 계층입니다.

TAN은 2단계 인증(2FA)의 형태로 기능하기 때문에 보안이 강화됩니다.TAN을 포함한 물리적인 문서 또는 토큰을 도난당한 경우 패스워드가 없으면 무용지물이 됩니다.반대로 로그인 데이터가 취득되면 유효한 TAN이 없으면 트랜잭션을 수행할 수 없습니다.

클래식 TAN

TAN의 기능은 다음과 같습니다.

  1. 은행에서는 사용자에 대해 고유한 TAN 세트를 만듭니다.일반적으로 목록에는 50개의 TAN이 인쇄되어 있어 일반 사용자가 반년 동안 사용할 수 있습니다.각 TAN의 길이는 6~8자입니다.
  2. 사용자는 가장 가까운 은행 지점에서 목록을 수령하거나(여권, 신분증 또는 유사한 문서를 제시), TAN 목록을 우편으로 받습니다.
  3. 비밀번호(PIN)는 별도로 발송됩니다.
  4. 계정에 로그온하려면 사용자 이름(대개 계정 번호)과 비밀번호(PIN)를 입력해야 합니다.이렇게 하면 계정 정보에 액세스할 수 있지만 트랜잭션을 처리하는 기능은 사용할 수 없습니다.
  5. 트랜잭션을 수행하기 위해 사용자는 요청을 입력하고 사용되지 않는 TAN을 입력하여 트랜잭션을 승인합니다.은행은 사용자에게 발행한 TAN 목록과 대조하여 제출된 TAN을 확인합니다.일치하는 경우 트랜잭션이 처리됩니다.일치하지 않으면 트랜잭션은 거부됩니다.
  6. 이제 TAN이 사용되었으며 이후 트랜잭션은 인식되지 않습니다.
  7. TAN 목록이 손상된 경우 사용자는 은행에 통지하여 TAN 목록을 취소할 수 있습니다.

그러나 모든 트랜잭션에 임의의 TAN을 사용할 수 있기 때문에 TAN은 여전히 피싱 공격을 받기 쉽습니다.이 공격에서는 피해자가 패스워드/PIN과 1개 또는 여러 개의 TAN을 모두 제공하도록 속습니다.또한 중간자 공격(공격자가 TAN의 전송을 가로채 위조 트랜잭션에 사용하는 경우)에 대한 보호 기능을 제공하지 않습니다.특히 클라이언트 시스템이 악의적인 사용자를 가능하게 하는 악성코드에 의해 손상되면 무단 트랜잭션 가능성이 높아집니다.나머지 TAN은 손상되지 않고 안전하게 사용할 수 있지만 일반적으로 사용자는 가능한 한 빨리 적절한 조치를 취할 것을 권장합니다.

인덱스 TAN(iTAN)

인덱스된 TAN은 피싱 위험을 줄입니다.트랜잭션을 인가하기 위해 사용자는 목록에서 임의의 TAN을 사용할 것이 아니라 시퀀스 번호(인덱스)로 식별되는 특정 TAN을 입력할 것을 요구받습니다.인덱스는 은행에 의해 랜덤으로 선택되기 때문에 공격자가 취득한 임의의 TAN은 일반적으로 가치가 없습니다.

그러나 iTANs도 공격은 공격자가 몰래 PC의 배경뿐만 아니라의 실제 transa을 감추기 위해 거래 세부 사항 바꿀 수 있게 하는 은행과 man-in-the-browser 웹 사이트 attacks[1]의 위조된 복사본에 벌목에 사용자 속이는 공격 피싱 등 중간자 공격을 많이 받는다.cti온라인 계정 [2]개요에서 공격자가 수행한 작업입니다.

따라서 2012년에 유럽 연합 네트워크정보 보안 기관은 모든 은행에 악성코드에 감염된 사용자의 PC 시스템을 기본적으로 고려하고 사용자가 거래 데이터와 조작을 교차 확인할 수 있는 보안 프로세스를 사용할 것을 권고했습니다(휴대전화 보안이 유지된다면).사용자(chipTAN)[3]에게 미리 보여주면서 TAN 생성 프로세스에 대한 트랜잭션 데이터를 포함한 자체 화면을 갖춘 mTAN 또는 스마트카드 리더.

CAPTCHA를 사용한 인덱스 TAN(iTANplus)

iTAN을 입력하기 전에 사용자에게 CAPTCHA가 제공되며, 배경에는 잠재적인 공격자가 모르는 것으로 간주되는 트랜잭션 데이터 및 사용자의 생년월일과 같은 데이터가 표시됩니다.이것은 공격자가 CAPTCHA를 위조하는 것을 어렵게 하기 위한 것입니다(그러나 불가능한 것은 아닙니다).

이 변형 iTAN은 일부 독일 은행에서 사용하는 방법으로 중간자 [4]공격 위험을 줄이기 위해 CAPTCHA를 추가합니다.일부 중국 은행들은 iTANplus와 유사한 TAN 방식을 도입하고 있다.최근의 연구에 따르면 이러한 CAPTCHA 기반의 TAN 스킴은 보다 고도의 자동 [5]공격에 대해 안전하지 않습니다.

모바일 TAN(mTAN)

mTAN은 오스트리아, 불가리아, 체코, 독일, 헝가리, 네덜란드, 폴란드, 러시아, 싱가포르, 남아프리카공화국, 스페인, 스위스 및 뉴질랜드, 호주 및 우크라이나에서 사용됩니다.사용자가 거래를 시작하면 은행에서 TAN이 생성되어 SMS로 사용자의 휴대전화로 전송되며, SMS에는 거래 데이터가 포함되어 있어 은행으로의 전송 시 거래가 변경되지 않았는지 확인할 수 있습니다.

단, 이 방식의 보안은 휴대전화 시스템의 보안에 따라 달라집니다.SMS로 전송되는 TAN 코드가 일반적인 남아프리카공화국에서는 SIM 스왑 사기라는 새로운 공격이 발생했습니다.일반적인 공격 벡터는 공격자가 피해자를 가장하여 모바일 네트워크 운영자로부터 피해자의 전화기에 대한 대체 SIM 카드를 얻는 것입니다.공격 대상자의 사용자 이름 및 암호는 다른 방법(예: 키로깅 또는 피싱)을 통해 얻습니다.공격자는 복제/교체된 SIM을 입수하고 피해자가 자신의 전화가 더 이상 작동하지 않는다는 것을 깨닫는 사이에 피해자의 [6]계좌에서 자금을 이체/탈출할 수 있습니다.2016년에는 한 사회 엔지니어가 SIM 스왑 사기에 대한 연구를 실시하여 포팅 번호 발행의 약점을 드러냈습니다.

2014년에는 SMS 전송에 사용되는 7번 신호 시스템의 취약점이 발표되어 메시지 가로채기가 가능하였습니다.토바이어스 엥겔이 제31회 혼돈통신대회에서 [7]시연했다.2017년 초 독일에서는 이 취약점이 문자메시지를 가로채고 자금 [8]이체를 부정하게 리디렉션하는 데 성공했습니다.

또한 스마트폰의 부상은 mTAN [9]체계를 깨기 위해 PC와 휴대폰을 동시에 감염시키려는 악성코드 공격으로 이어졌다.

푸쉬탄

push TAN은 독일 Sparkassen 은행 그룹의 앱 기반 TAN 스킴으로 mTAN 스킴의 단점 중 일부를 줄였습니다.SMS 메시지는 암호화된 인터넷 연결을 통해 사용자의 스마트폰으로 전송되므로 SMS 메시지 비용이 들지 않고 SIM 카드 사기도 발생하지 않습니다.mTAN과 마찬가지로, 이 스킴은 사용자가 PC에서 트로이 목마가 수행한 숨겨진 조작과 거래 내역을 상호 확인할 수 있도록 하며, 푸시 시 은행이 받은 실제 거래 내역을 포함합니다.TAN 메시지스마트폰에서 mTAN을 사용하는 것과 비슷하지만 PC와 스마트폰의 악성코드가 동시에 감염될 위험이 있습니다.이 리스크를 줄이기 위해모바일 디바이스가 루트 또는 [10]탈옥하면 TAN 앱이 기능을 정지합니다.2014년 말, Deutsche Kreditbank(DKB)도 이러한 요구를 채택했습니다.TAN [11]방식

TAN 제너레이터

심플한 TAN 제너레이터

TAN 목록 전체를 침해할 위험은 은행이 알고 있는 비밀에 근거하여 TAN을 즉시 생성하고 토큰 또는 토큰에 삽입된 스마트카드에 저장하는 보안 토큰을 사용함으로써 줄일 수 있습니다.

단, 생성된 TAN은 특정 트랜잭션의 상세 내용에 관련되지 않습니다.TAN은 TAN과 함께 제출된 모든 트랜잭션에 유효하기 때문에 공격자가 TAN을 직접 사용하는 피싱 공격이나 중간자 공격으로부터 보호되지 않습니다.

ChipTAN / Sm@rt-TAN / 카드태닝

뱅크 카드가 접속되어 있는 ChipTAN 제너레이터(광학 버전).두 개의 흰색 화살표는 컴퓨터 화면에서 바코드의 테두리를 표시합니다.

ChipTAN은 많은 독일과 오스트리아 [12][13][14]은행에서 사용되는 TAN 스킴입니다.칩이라고 합니다.독일 및 카드로 TAN 또는 Sm[15]@rt-TAN오스트리아에서는 TAN, 반면 카드는TAN은 기술적으로 독립된 [16]표준입니다.

ChipTAN 제너레이터는 특정 계정에 연결되어 있지 않습니다.사용자는 사용 중에 은행카드를 삽입해야 합니다.생성된 TAN은 은행 카드뿐만 아니라 현재 거래 내역에도 고유합니다.두 가지 종류가 있습니다.이전 버전에서는 거래 내역(최소한 금액과 계좌 번호)을 수동으로 입력해야 합니다.현대식 모델에서는 사용자가 온라인으로 트랜잭션을 입력한 다음 TAN 발생기가 컴퓨터 화면의 깜박이는 바코드를 통해 트랜잭션 세부 정보를 읽습니다(광검출기 사용).그런 다음 TAN을 생성하기 전에 사용자가 확인할 수 있도록 자체 화면에 트랜잭션 세부 정보를 표시합니다.

TAN 제너레이터는 단순한 통신채널에 의해서만 결합되는 독립된 하드웨어이기 때문에 사용자의 컴퓨터로부터의 공격에 취약하지 않습니다.컴퓨터가 트로이 목마에 의해 전복되거나 중간자 공격이 발생하더라도 생성된 TAN은 TAN 생성기 화면에서 사용자가 확인한 트랜잭션에만 유효하므로 트랜잭션을 소급하여 수정하면 TAN이 무효가 됩니다.

이 스킴의 또 다른 장점은 TAN 제너레이터가 범용이기 때문에 카드를 삽입할 필요가 있기 때문에 여러 뱅크에서 여러 계정으로 사용할 수 있으며 보안에 중요한 데이터가 뱅크 카드에 저장되어 있기 때문에 제너레이터를 분실해도 보안상의 위험이 없다는 것입니다.

이 칩은 기술적인 조작으로부터 보호를 제공하지만TAN 계획은 여전히 사회 공학에 취약하다.공격자는 은행이 "시험 이체"를 요구했거나 회사가 사용자의 계좌로 허위 송금했으므로 [1][17]"반환해야 한다"고 주장하는 등 사용자 자신을 설득하여 이체를 허가하려고 시도했다.따라서 사용자는 자신이 시작하지 않은 은행 이체를 절대 확인해서는 안 됩니다.

ChipTAN은 배치 전송 보안에도 사용됩니다(Sammelüberweisungen).단, 이 방법은 개별 전송에 비해 보안성이 현저히 떨어집니다.배치 전송의 경우 TAN 생성기는 결합된 모든 전송의 수와 총량만 표시합니다. 따라서 배치 전송의 경우 트로이 [18]목마에 의한 조작으로부터 거의 보호되지 않습니다.이 취약성은 2009년 [19]11월에 RedTeam Pentesting에 의해 보고되었습니다.이에 따라 일부 은행은 하나의 기록만을 포함하는 일괄 이전을 개별 이전으로 취급하도록 일괄 이전 처리를 변경하였다.

「 」를 참조해 주세요.

레퍼런스

  1. ^ a b Symantec 글로벌 보안 대응 의 Wüest 씨, 은행 트로이 목마의 현재 진보2014-04-25 Wayback Machine iriss.ie, Irish Reporting and Information Security Service, 2012년 12월 2일 아카이브 완료(PDF; 1,9MB)
  2. ^ Katusha: LKA zerschlägt Ring von Online-Betrügern WinFuture.de, 2010년 10월 29일
  3. ^ "하이 롤러" 온라인 은행 강도사건으로 보안 공백이 드러난 유럽 연합 네트워크 및 정보 보안청, 2012년 7월 5일
  4. ^ heise online (2007-10-26). "Verbessertes iTAN-Verfahren soll vor Manipulationen durch Trojaner schützen" (in German).
  5. ^ Li, Shujun; Syed Amier Haider Shah; Muhammad Asad Usman Khan; Syed Ali Khayam; Ahmad-Reza Sadeghi; Roland Schmitz (2010). "Breaking e-Banking CAPTCHAs". Proceedings of 26th Annual Computer Security Applications Conference (ACSAC 2010). New York, NY, USA: ACM. pp. 171–180. doi:10.1145/1920261.1920288.
  6. ^ 피해자의 SIM 스와프 사기 악몽 iol.co.za, Independent Online, 2008년 1월 12일
  7. ^ "31C3: Mobilfunk-Protokoll SS7 offen wie ein Scheunentor" (in German). 2014-12-28.
  8. ^ Fabian A. Scherschel (2017-05-03). "Deutsche Bankkonten über UMTS-Sicherheitslücken ausgeräumt" (in German).
  9. ^ Eurograbber SMS 트로이 목마 온라인 은행 techworld.com에서 3600만유로 도난, 2012년 12월 5일
  10. ^ 온라인 뱅킹의 mit 푸시TAN - FAQ berliner-sparkasse.de , Berliner Sparkasse (AöR), 2014년 8월 27일 취득.
  11. ^ Informationen zu 푸시TAN dkb.de, Deutsche Kreditbank AG, 2015년 3월 12일 취득.
  12. ^ 포스트뱅크 칩2014년 4월 10일, Postbank, Retrieved의 TAN 공식 페이지.
  13. ^ chipTAN: 2014년 4월 10일 Sparkasse, Retrived의 werden überflüssig 공식 페이지를 들어보십시오.
  14. ^ 다이카드2014년 4월 10일 Raiffisen Bankengruppe Osterreich의 TAN 공식 페이지.
  15. ^ "Sm@rt-TAN". www.vr-banking-app.de (in German). Retrieved 2018-10-10.
  16. ^ 다이뉴 카드TAN ebankingsicherheit.at, Gemalto N.V., 2014년 10월 22일 취득.
  17. ^ 칩을 노출하는 타탕가 공격TAN 취약점 trusteer.com, 2012년 9월 4일
  18. ^ "chipTAN-Verfahren / Was wird im TAN-Generator angezeigt?" (PDF). Sparkasse Neckartal-Odenwald. June 2013. Retrieved 1 December 2014. SEPA-Sammelüberweisung, Inhalt: mehr als 1 Posten. Anzeige 1: Summe, Anzeige 2: Anzahl Posten
  19. ^ "Man-in-the-Middle Attacks against the chipTAN comfort Online Banking System". RedTeam Pentesting GmbH. Retrieved 1 December 2014.
Wikimedia Commons에는 트랜잭션 인증 번호와 관련된 미디어가 있습니다.