Número de autenticación de la transacción
Un número de autentificación de transacción ( TAN ) es utilizado por algunos de banca en línea de servicios como una forma de un solo uso de contraseñas de un solo uso (OTP) para autorizar las transacciones financieras . Los TAN son una segunda capa de seguridad que va más allá de la autenticación tradicional de contraseña única .
Los TAN brindan seguridad adicional porque actúan como una forma de autenticación de dos factores (2FA). Si el documento físico o el token que contiene los TAN es robado, será inútil sin la contraseña. Por el contrario, si se obtienen los datos de inicio de sesión, no se pueden realizar transacciones sin un TAN válido.
Sin embargo, como cualquier TAN se puede utilizar para cualquier transacción, los TAN siguen siendo propensos a ataques de phishing en los que se engaña a la víctima para que proporcione una contraseña / PIN y uno o varios TAN. Además, no brindan protección contra ataques man-in-the-middle (donde un atacante intercepta la transmisión del TAN y lo usa para una transacción falsificada). Especialmente cuando el sistema cliente se ve comprometido por algún tipo de malware que habilita a un usuario malintencionado , la posibilidad de una transacción no autorizada es alta. Aunque los TAN restantes no están comprometidos y pueden usarse de manera segura, generalmente se recomienda a los usuarios que tomen las medidas adecuadas lo antes posible.
Los TAN indexados reducen el riesgo de phishing. Para autorizar una transacción, no se le pide al usuario que use un TAN arbitrario de la lista, sino que ingrese un TAN específico identificado por un número de secuencia (índice). Como el banco elige el índice al azar, un TAN arbitrario adquirido por un atacante generalmente no tiene valor.
Sin embargo, los iTAN todavía son susceptibles a los ataques man-in-the-middle , incluidos los ataques de phishing en los que el atacante engaña al usuario para que inicie sesión en una copia falsificada del sitio web del banco y los ataques man-in-the-browser [1] que permiten el atacante para intercambiar en secreto los detalles de la transacción en el fondo de la PC, así como para ocultar las transacciones reales realizadas por el atacante en la descripción general de la cuenta en línea. [2]
Por lo tanto, en 2012, la Agencia de Seguridad de las Redes y la Información de la Unión Europea recomendó a todos los bancos que consideren que los sistemas de PC de sus usuarios están infectados por malware de forma predeterminada y que utilicen procesos de seguridad en los que el usuario pueda verificar los datos de la transacción con manipulaciones como, por ejemplo, ( siempre que la seguridad del teléfono móvil aguante) mTAN o lectores de tarjetas inteligentes con su propia pantalla que incluyen los datos de la transacción en el proceso de generación de TAN mientras se muestran de antemano al usuario ( chipTAN ). [3]
