攻击人员开始利用银行和其他机构通过短信识别用户身份的方式来发动攻击。
最近的大部分攻击活动都使用了最流行的Zeus木马攻击,专家表示,这说明被广泛使用的带外身份验证方法可能存在缺陷。
这种被称为“移动中的人(MitMo)”的新型攻击技术允许黑帽攻击者利用部署在移动设备上的恶意软件来绕过密码验证系统(该系统通过短信向用户的手机发送身份验证信息)。
“在交易验证系统中,客户会收到包含交易详情和进入网站的代码的短信,只有客户确认交易信息与实际交易信息相符时才会输入代码返回网站,”Trusteer首席执行官Mickey Boodaei表示,“交易验证被认为是阻止MitMo攻击的好办法,在这种攻击中,恶意软件试图代表受害者提交交易。”
“然而MitMo攻击完全不受影响,它控制了移动设备,并且将验证信息转发给攻击者,然后从受害者的手机中删除,受害者完全不知情,”Boodaei表示。
攻击者开始利用扩散的Zeus木马来执行MitMo攻击,银行业安全专家将继续与攻击者周旋以确保是真正的用户在执行操作。
“银行需要调整心态,意识到双因素身份验证永远都会受到攻击者的威胁。被感染的移动电话与被感染的个人电脑带来的威胁都是一样的,”Fortinet公司的网络安全与威胁研究部门项目经理Derek Manky表示。
银行需要想办法对用户进行培训,帮助他们保护他们的身份验证通道,Manky表示,“最终用户可能知道他们可能会从被感染的个人电脑或者网络钓鱼攻击中丢失他们的帐户信息,但是他们却没有注意到移动电话的危害。”
虽然,教育的确是非常重要的因素,Boodaei认为银行需要帮助用户来保护这些身份验证通道。
“银行应该利用技术来确保用户的计算机和网站之间以及用户的移动电话和网站之间的通信的安全,”Boodaei表示。
“这需要在计算机和移动设备上部署额外的安全保护层,这样可以保护通信安全,并且防止恶意软件获取财务数据和登录信息,”Boodaei继续说道,“很多银行已经开始提供这种额外的安全保护。”
企业可能还需要仔细考虑他们正在使用的带外一次性密码技术的类型来提高安全性。例如,在用户直接通过手机恢复短信的系统中(而不是简单地输入代码到浏览器)可能会更加安全。或者企业可以考虑不使用这种短信形式,而选择比较老旧的手段,例如打电话来作为带外身份验证。
“我们暂时还没有发现能攻破这种机制的攻击,”PhoneFactor首席技术官兼创始人Steve Dispensa表示,“由于语音与智能手机上数据功能的逻辑分离,电话呼叫可以有效抵抗在手机上运行的恶意软件。”
真正有安全意识的企业在添加语音生物识别技术到身份验证电话中时,甚至可以在语音通话中加多一层验证因素,也就是关于优先顺序的问题。正如Dispensa所说的那样,即使容易受到最新攻击技术攻击的带外身份验证形式都要比很多其他类型的双因素身份验证要安全。
“所有基于令牌的解决方案,网格卡等都可能被恶意软件攻击,”Dispensa注意到,“新的攻击,即使是以它们最致命的形式,都需要两个协调的感染(对用户的移动电话或者计算机的感染)。这在实际操作中很难实现。”
“传统的双因素系统(例如安全令牌)存在致命的缺陷,并且经常受到攻击,因为只需要通过一个简单的恶意软件就可以绕过这些系统,”Dispensa表示,“带外双因素技术是新的最佳做法,我们希望看到更多的企业采用这种技术。对于40%被恶意软件感染的计算机而言,利用手机进行身份验证将更加安全。”
然而,随着越来越多的恶意软件开始蔓延到智能手机,这种优势可能无法永远持续下去。
【编辑推荐】