在用户身份假冒攻击中,攻击者与受害者有两种简单的关系:熟知和不知。熟知关系的攻击者可以轻易的盗取受害者的登录凭证(如:卡号、密码、USBKEY等),从而假冒受害者身份进行网上银行操作;不知关系的攻击者要进行攻击需要一定的攻击场景,如:处于同一个局域网环境,包括办公局域网、公共WIFI网络等,攻击者利用ARP或代理拦截等技术攻击获取用户登录凭证,假冒受害者身份进行网上银行操作。
目前银行针对身份假冒攻击的防护,从登录过程和登录反馈两个方面进行防护。其一是采用HTTPS协议利用数字证书进行身份验证,对“中间人攻击”进行提示并结合安全控件技术对敏感数据进行加密,即便陷入中间人攻击,也无法破译登录凭证;其二是利用登录成功短信提醒和显示上次登录信息(包括:登录时间、登录IP地址、登录失败次数等)方式及时提醒用户可能存在的假冒登录。
通过我们的调研与分析认为:采用HTTPS结合USBKEY数字证书技术,严格遵守SSL过程进行双向身份鉴别的防护效果较好,基本杜绝中间人攻击。此类防护中USBKEY鲁棒性是防御的重中之重。短信提醒和上次登录信息的功能起到缩短发现时间,及时采取应对措施的作用。但还需要银行方面加大安全措施的宣传力度,网上银行用户提高安全防范意识,同时默认启用或开通相关的安全功能。
目前网上银行通常会提供两种版本的登录——大众版和专业版。大众版采用HTTPS通信结合安全控件方式,无法避免中间人攻击,但通过安全控件可保护登录凭证,控件的加密强度和抗逆向分析能力成为攻防焦点;专业版采用HTTPS通信、安全控件以及USBKEY方式。但大多数USBKEY在登录环节并未使用,使得登录防护效果与大众版相同。另外,登录提醒和提示信息量还有待丰富,以便网上银行用户能更清晰地进行危险判断。
安全控件成为攻防焦点,USBKEY充分利用成为趋势,用户安全意识提升仍需继续。