隨著網(wǎng)絡(luò)的不斷融合，移動(dòng)設(shè)備的網(wǎng)絡(luò)安全也逐漸受到大家的重視?，F(xiàn)在，攻擊人員開(kāi)始利用銀行和其他機(jī)構(gòu)通過(guò)短信識(shí)別用戶身份的方式來(lái)發(fā)動(dòng)攻擊。最近的大部分攻擊活動(dòng)都使用了最流行的Zeus木馬攻擊，專家表示，這說(shuō)明被廣泛使用的帶外身份驗(yàn)證方法可能存在缺陷。

這種被稱為“移動(dòng)中的人(MitMo)”的新型攻擊技術(shù)允許黑帽攻擊者利用部署在移動(dòng)設(shè)備上的惡意軟件來(lái)繞過(guò)密碼驗(yàn)證系統(tǒng)(該系統(tǒng)通過(guò)短信向用戶的手機(jī)發(fā)送身份驗(yàn)證信息)。

“在交易驗(yàn)證系統(tǒng)中，客戶會(huì)收到包含交易詳情和進(jìn)入網(wǎng)站的代碼的短信，只有客戶確認(rèn)交易信息與實(shí)際交易信息相符時(shí)才會(huì)輸入代碼返回網(wǎng)站，”Trusteer首席執(zhí)行官M(fèi)ickey Boodaei表示，“交易驗(yàn)證被認(rèn)為是阻止MitMo攻擊的好辦法，在這種攻擊中，惡意軟件試圖代表受害者提交交易。”

“然而MitMo攻擊完全不受影響，它控制了移動(dòng)設(shè)備，并且將驗(yàn)證信息轉(zhuǎn)發(fā)給攻擊者，然后從受害者的手機(jī)中刪除，受害者完全不知情，”Boodaei表示。

攻擊者開(kāi)始利用擴(kuò)散的Zeus木馬來(lái)執(zhí)行MitMo攻擊，銀行業(yè)安全專家將繼續(xù)與攻擊者周旋以確保是真正的用戶在執(zhí)行操作。

“銀行需要調(diào)整心態(tài)，意識(shí)到雙因素身份驗(yàn)證永遠(yuǎn)都會(huì)受到攻擊者的威脅。被感染的移動(dòng)電話與被感染的個(gè)人電腦帶來(lái)的威脅都是一樣的，”Fortinet公司的網(wǎng)絡(luò)安全與威脅研究部門項(xiàng)目經(jīng)理Derek Manky表示。

銀行需要想辦法對(duì)用戶進(jìn)行培訓(xùn)，幫助他們保護(hù)他們的身份驗(yàn)證通道，Manky表示，“最終用戶可能知道他們可能會(huì)從被感染的個(gè)人電腦或者網(wǎng)絡(luò)釣魚攻擊中丟失他們的帳戶信息，但是他們卻沒(méi)有注意到移動(dòng)電話的危害。”

雖然，教育的確是非常重要的因素，Boodaei認(rèn)為銀行需要幫助用戶來(lái)保護(hù)這些身份驗(yàn)證通道。

“銀行應(yīng)該利用技術(shù)來(lái)確保用戶的計(jì)算機(jī)和網(wǎng)站之間以及用戶的移動(dòng)電話和網(wǎng)站之間的通信的安全，”Boodaei表示。

“這需要在計(jì)算機(jī)和移動(dòng)設(shè)備上部署額外的安全保護(hù)層，這樣可以保護(hù)通信安全，并且防止惡意軟件獲取財(cái)務(wù)數(shù)據(jù)和登錄信息，”Boodaei繼續(xù)說(shuō)道，“很多銀行已經(jīng)開(kāi)始提供這種額外的安全保護(hù)。”

企業(yè)可能還需要仔細(xì)考慮他們正在使用的帶外一次性密碼技術(shù)的類型來(lái)提高安全性。例如，在用戶直接通過(guò)手機(jī)恢復(fù)短信的系統(tǒng)中(而不是簡(jiǎn)單地輸入代碼到瀏覽器)可能會(huì)更加安全?；蛘咂髽I(yè)可以考慮不使用這種短信形式，而選擇比較老舊的手段，例如打電話來(lái)作為帶外身份驗(yàn)證。

“我們暫時(shí)還沒(méi)有發(fā)現(xiàn)能攻破這種機(jī)制的攻擊，”PhoneFactor首席技術(shù)官兼創(chuàng)始人Steve Dispensa表示，“由于語(yǔ)音與智能手機(jī)上數(shù)據(jù)功能的邏輯分離，電話呼叫可以有效抵抗在手機(jī)上運(yùn)行的惡意軟件。”

真正有安全意識(shí)的企業(yè)在添加語(yǔ)音生物識(shí)別技術(shù)到身份驗(yàn)證電話中時(shí)，甚至可以在語(yǔ)音通話中加多一層驗(yàn)證因素，也就是關(guān)于優(yōu)先順序的問(wèn)題。正如Dispensa所說(shuō)的那樣，即使容易受到最新攻擊技術(shù)攻擊的帶外身份驗(yàn)證形式都要比很多其他類型的雙因素身份驗(yàn)證要安全。

“所有基于令牌的解決方案，網(wǎng)格卡等都可能被惡意軟件攻擊，”Dispensa注意到，“新的攻擊，即使是以它們最致命的形式，都需要兩個(gè)協(xié)調(diào)的感染(對(duì)用戶的移動(dòng)電話或者計(jì)算機(jī)的感染)。這在實(shí)際操作中很難實(shí)現(xiàn)。”

“傳統(tǒng)的雙因素系統(tǒng)(例如安全令牌)存在致命的缺陷，并且經(jīng)常受到攻擊，因?yàn)橹恍枰ㄟ^(guò)一個(gè)簡(jiǎn)單的惡意軟件就可以繞過(guò)這些系統(tǒng)，”Dispensa表示，“帶外雙因素技術(shù)是新的最佳做法，我們希望看到更多的企業(yè)采用這種技術(shù)。對(duì)于40%被惡意軟件感染的計(jì)算機(jī)而言，利用手機(jī)進(jìn)行身份驗(yàn)證將更加安全。”

然而，隨著越來(lái)越多的惡意軟件開(kāi)始蔓延到智能手機(jī)，這種優(yōu)勢(shì)可能無(wú)法永遠(yuǎn)持續(xù)下去。

【編輯推薦】

1. 企業(yè)不應(yīng)忽視移動(dòng)設(shè)備所帶來(lái)的安全隱患
2. 六成因移動(dòng)辦公泄密 據(jù)企業(yè)安全調(diào)查
3. 對(duì)天融信移動(dòng)系統(tǒng)安全防護(hù)方案的詳細(xì)解析
4. iPhone破解利用程序引發(fā)移動(dòng)安全問(wèn)題
5. 如何讓USB移動(dòng)硬盤百毒不侵