2019-10-08 10:41:3514894人阅读
虽然在过去几年针对银行的攻击手段变得更加复杂,但绝大多数攻击依旧依赖于用户欺骗。例如,针对银行的一种常见网络钓鱼攻击,就是将目标定向到恶意克隆的银行网站。一旦用户尝试登录这个看起来很真实的虚假网站,该平台会提示:服务不可用,从而混淆用户,并存储下用户刚刚输入的凭证信息(账号密码)。
这一切都是为了引导用户犯错,而网络钓鱼还只是电子银行时代应该防范的攻击之一。以下介绍了黑客通过用户攻击银行的五种方式:
短信诈骗在银行业已经非常普遍。首先,攻击者窃取受害者的手机号码以及手机ID,然后打电话给SIM卡中心声称自己手机丢失,并且已经购买了新的SIM卡,现在希望把旧号码取回。攻击者使用那些可能从社交媒体帐户上收集来的的安全ID和其他私人信息,说服电信支持人员,换回手机号。
这种骗局甚至可以逃避安全保护。大多数提供多因素身份验证(MFA)以保护在线银行会话和应用程序的银行机构都依赖基于SMS的MFA,而不是使用移动令牌。一旦黑客窃取了用户的电话号码,他们就可以访问短信,而这也意味着他们可以访问受害者的帐户,即使它具有基于SMS的MFA。
Man In-The-Middle(MITM)攻击由来已久,但非常有效,攻击者瞄准的是基础设施没有被充分保护的银行平台。他们不仅窃取资金,还攻击银行的基础设施从而给银行带来负面影响。攻击者通过干扰用户和银行后端之间的网络通信,篡改交易金额和账户信息。这个攻击一般可以通过银行加密通信,使用特定证书凭证来预防。
但是,在使用TLS连接中,发现了漏洞。常见的DNS欺骗技术可以很容易地定向受害者在同一Wi-Fi网络下的流量,从而无法验证主机名。因此,银行防御MITM攻击的最佳方式是通过实施令牌多因素签名。
MITB(Man-in-the-Browser attack)是一种感染在线浏览器的特洛伊木马。它扮演中间人攻击的角色,嗅探和修改用户在受感染浏览器上执行的事务,但表面上仍然显示用户是在合法输入。
大多数用户认为他们在HTTPS的网站上执行事务时有SSL的保护,但事实上,SSL只保护浏览器和服务器之间传输的数据。
更好的证书管理可以预防感染,但是当用户使用个人计算机进行银行业务时,这很难保证。幸运的是,还可以通过多因素身份验证令牌来保护银行事务。
鱼叉式网络钓鱼:攻击者利用电子邮件欺骗技术,通过一个定制的、高度真实的网络钓鱼电子邮件来攻击特定的组织或个人。简而言之,这是一种更具针对性、复杂性且研究密集的网络钓鱼版本。
这种攻击通常用于攻击者所熟悉的组织,攻击者利用内部了解针对特定的负责付款的员工发起攻击。比如,他们可能会向会计发送一封电子邮件,表明是CFO要求他们支付一笔看似正常的款项。如果员工相信了,于是进入虚假网站或下载链接,就会导致MITM或MITB攻击的触发。
移动银行木马是最灵活也最危险的恶意软件类型之一,旨在通过窃取用户凭据从而窃取用户帐户中的资金。它们看起来和Apple或Google商店中的真正App一样,但当用户下载并运行App时,它就会开始监控手机里的银行App。由于不是每个银行App的设计都能合理地保护个人的资产,因此,实施不当和开源库暴露都会让帐户和密码很容易地被跟踪。
对于银行来说,保护其支付系统的最佳方法之一就是为每笔资金交易添加MFA安全层。即使客户被欺骗登录到一个伪造的网站或点击了一个网络钓鱼链接,攻击者也无法转账或付款。
以上这些攻击操作都依赖于最终的用户令牌,而银行如果MFA控件到位,攻击者将无法拿到这些令牌!银行可以通过使用固定和随机事务属性(如名称、值、帐户、时间戳等)生成基于密码的签名,此外,如果正确实施,MFA也不会对银行应用或服务的用户体验产生负面影响。
最后,银行有责任让客户不断地重新评估他们的安全措施,以抵御上述在线威胁,但客户也在电子银行安全中发挥着作用,需要了解最常见的银行攻击,了解他们的资金何时可能存在风险,并在必要时做好安全防范。
本文转载自:FreeBuf微信公众号,题目有改动
参考来源:helpnetsecurity
原文链接:https://mp.weixin.qq.com/s/uCE9oUn64UtTrDIlArHELA
编译整理:kirazhou