歡迎來到 黑吧安全網 聚焦網絡安全前沿資訊,精華內容,交流技術心得!

網絡攻擊瞄準個人銀行,談談5個典型攻擊手段

來源:本站整理 作者:佚名 時間:2019-08-17 TAG: 我要投稿

在當今的數字時代,銀行和金融服務公司為了提高競爭力,往往為客戶提供了在線管理資金的便捷功能。但不幸的是,大多數銀行平臺都缺失安全設計,這導致黑客一直在利用這些潛在的隱患。
雖然在過去幾年針對銀行的攻擊手段變得更加復雜,但絕大多數攻擊依舊依賴于用戶欺騙。例如,針對銀行的一種常見網絡釣魚攻擊,就是將目標定向到惡意克隆的銀行網站。一旦用戶嘗試登錄這個看起來很真實的虛假網站,該平臺會提示:服務不可用,從而混淆用戶,并存儲下用戶剛剛輸入的憑證信息(賬號密碼)。
這一切都是為了引導用戶犯錯,而網絡釣魚還只是電子銀行時代應該防范的攻擊之一。以下介紹了黑客通過用戶攻擊銀行的五種方式:
SMS swaps攻擊
短信詐騙在銀行業已經非常普遍。首先,攻擊者竊取受害者的手機號碼以及手機ID,然后打電話給SIM卡中心聲稱自己手機丟失,并且已經購買了新的SIM卡,現在希望把舊號碼取回。攻擊者使用那些可能從社交媒體帳戶上收集來的的安全ID和其他私人信息,說服電信支持人員,換回手機號。
這種騙局甚至可以逃避安全保護。大多數提供多因素身份驗證(MFA)以保護在線銀行會話和應用程序的銀行機構都依賴基于SMS的MFA,而不是使用移動令牌。一旦黑客竊取了用戶的電話號碼,他們就可以訪問短信,而這也意味著他們可以訪問受害者的帳戶,即使它具有基于SMS的MFA。
MITM攻擊/中間人攻擊
Man In-The-Middle(MITM)攻擊由來已久,但非常有效,攻擊者瞄準的是基礎設施沒有被充分保護的銀行平臺。他們不僅竊取資金,還攻擊銀行的基礎設施從而給銀行帶來負面影響。攻擊者通過干擾用戶和銀行后端之間的網絡通信,篡改交易金額和賬戶信息。這個攻擊一般可以通過銀行加密通信,使用特定證書憑證來預防。
但是,在使用TLS連接中,發現了漏洞。常見的DNS欺騙技術可以很容易地定向受害者在同一Wi-Fi網絡下的流量,從而無法驗證主機名。因此,銀行防御MITM攻擊的最佳方式是通過實施令牌多因素簽名。
MITB攻擊
MITB(Man-in-the-Browser attack)是一種感染在線瀏覽器的特洛伊木馬。它扮演中間人攻擊的角色,嗅探和修改用戶在受感染瀏覽器上執行的事務,但表面上仍然顯示用戶是在合法輸入。
大多數用戶認為他們在HTTPS的網站上執行事務時有SSL的保護,但事實上,SSL只保護瀏覽器和服務器之間傳輸的數據。
更好的證書管理可以預防感染,但是當用戶使用個人計算機進行銀行業務時,這很難保證。幸運的是,還可以通過多因素身份驗證令牌來保護銀行事務。
魚叉式網絡釣魚攻擊
魚叉式網絡釣魚:攻擊者利用電子郵件欺騙技術,通過一個定制的、高度真實的網絡釣魚電子郵件來攻擊特定的組織或個人。簡而言之,這是一種更具針對性、復雜性且研究密集的網絡釣魚版本。
這種攻擊通常用于攻擊者所熟悉的組織,攻擊者利用內部了解針對特定的負責付款的員工發起攻擊。比如,他們可能會向會計發送一封電子郵件,表明是CFO要求他們支付一筆看似正常的款項。如果員工相信了,于是進入虛假網站或下載鏈接,就會導致MITM或MITB攻擊的觸發。
移動惡意軟件攻擊
移動銀行木馬是最靈活也最危險的惡意軟件類型之一,旨在通過竊取用戶憑據從而竊取用戶帳戶中的資金。它們看起來和Apple或Google商店中的真正App一樣,但當用戶下載并運行App時,它就會開始監控手機里的銀行App。由于不是每個銀行App的設計都能合理地保護個人的資產,因此,實施不當和開源庫暴露都會讓帳戶和密碼很容易地被跟蹤。
銀行如何防御攻擊?
對于銀行來說,保護其支付系統的最佳方法之一就是為每筆資金交易添加MFA安全層。即使客戶被欺騙登錄到一個偽造的網站或點擊了一個網絡釣魚鏈接,攻擊者也無法轉賬或付款。
以上這些攻擊操作都依賴于最終的用戶令牌,而銀行如果MFA控件到位,攻擊者將無法拿到這些令牌!銀行可以通過使用固定和隨機事務屬性(如名稱、值、帳戶、時間戳等)生成基于密碼的簽名,此外,如果正確實施,MFA也不會對銀行應用或服務的用戶體驗產生負面影響。
最后,銀行有責任讓客戶不斷地重新評估他們的安全措施,以抵御上述在線威脅,但客戶也在電子銀行安全中發揮著作用,需要了解最常見的銀行攻擊,了解他們的資金何時可能存在風險,并在必要時做好安全防范。
 

【聲明】:黑吧安全網(http://www.nkppsz.live)登載此文出于傳遞更多信息之目的,并不代表本站贊同其觀點和對其真實性負責,僅適于網絡安全技術愛好者學習研究使用,學習中請遵循國家相關法律法規。如有問題請聯系我們,聯系郵箱[email protected],我們會在最短的時間內進行處理。
  • 最新更新
    • 相關閱讀
      • 本類熱門
        • 最近下載
        秒速时时彩骗局