恶意滥用攻击多发生在USBKEY不参与登录的情况下,攻击者针对获得的银行卡号或登录昵称刻意多次输入错误密码,导致被攻击的用户账号锁定。少数银行针对此类锁定需要用户本人携带有效证件到柜台办理解锁操作,给用户带来不便的同时,也会影响到银行的工作效率和信誉。
目前银行针对此类恶意滥用的攻击采取的是验证码技术,避免攻击者通过自动化的工具实现大范围批量的账户锁定,但还是无法避免有针对性的恶意锁定账号攻击。
通过我们的调研与分析认为:采用验证码功能削弱自动化的大范围批量恶意滥用的程度与验证码自身的强度成正比。目前验证多为4位数字和字母的组合,抵抗OCR的能力欠缺。
目前对于有针对性的恶意的账号锁定攻击尚无较有效的防护措施。
