攻擊人員開始利用銀行和其他機構通過短信識別用戶身份的方式來發(fā)動攻擊。

最近的大部分攻擊活動都使用了最流行的Zeus木馬攻擊，專家表示，這說明被廣泛使用的帶外身份驗證方法可能存在缺陷。

這種被稱為“移動中的人（MitMo）”的新型攻擊技術允許黑帽攻擊者利用部署在移動設備上的惡意軟件來繞過密碼驗證系統(tǒng)（該系統(tǒng)通過短信向用戶的手機發(fā)送身份驗證信息）。

“在交易驗證系統(tǒng)中，客戶會收到包含交易詳情和進入網(wǎng)站的代碼的短信，只有客戶確認交易信息與實際交易信息相符時才會輸入代碼返回網(wǎng)站，”Trusteer首席執(zhí)行官Mickey Boodaei表示，“交易驗證被認為是阻止MitMo攻擊的好辦法，在這種攻擊中，惡意軟件試圖代表受害者提交交易?！?/P>

“然而MitMo攻擊完全不受影響，它控制了移動設備，并且將驗證信息轉(zhuǎn)發(fā)給攻擊者，然后從受害者的手機中刪除，受害者完全不知情，”Boodaei表示。

攻擊者開始利用擴散的Zeus木馬來執(zhí)行MitMo攻擊，銀行業(yè)安全專家將繼續(xù)與攻擊者周旋以確保是真正的用戶在執(zhí)行操作。

“銀行需要調(diào)整心態(tài)，意識到雙因素身份驗證永遠都會受到攻擊者的威脅。被感染的移動電話與被感染的個人電腦帶來的威脅都是一樣的，”Fortinet公司的網(wǎng)絡安全與威脅研究部門項目經(jīng)理Derek Manky表示。

銀行需要想辦法對用戶進行培訓，幫助他們保護他們的身份驗證通道，Manky表示，“最終用戶可能知道他們可能會從被感染的個人電腦或者網(wǎng)絡釣魚攻擊中丟失他們的帳戶信息，但是他們卻沒有注意到移動電話的危害?！?/P>

雖然，教育的確是非常重要的因素，Boodaei認為銀行需要幫助用戶來保護這些身份驗證通道。

“銀行應該利用技術來確保用戶的計算機和網(wǎng)站之間以及用戶的移動電話和網(wǎng)站之間的通信的安全，”Boodaei表示。

“這需要在計算機和移動設備上部署額外的安全保護層，這樣可以保護通信安全，并且防止惡意軟件獲取財務數(shù)據(jù)和登錄信息，”Boodaei繼續(xù)說道，“很多銀行已經(jīng)開始提供這種額外的安全保護?！?/P>

企業(yè)可能還需要仔細考慮他們正在使用的帶外一次性密碼技術的類型來提高安全性。例如，在用戶直接通過手機恢復短信的系統(tǒng)中（而不是簡單地輸入代碼到瀏覽器）可能會更加安全?；蛘咂髽I(yè)可以考慮不使用這種短信形式，而選擇比較老舊的手段，例如打電話來作為帶外身份驗證。

“我們暫時還沒有發(fā)現(xiàn)能攻破這種機制的攻擊，”PhoneFactor首席技術官兼創(chuàng)始人Steve Dispensa表示，“由于語音與智能手機上數(shù)據(jù)功能的邏輯分離，電話呼叫可以有效抵抗在手機上運行的惡意軟件?！?/P>

真正有安全意識的企業(yè)在添加語音生物識別技術到身份驗證電話中時，甚至可以在語音通話中加多一層驗證因素，也就是關于優(yōu)先順序的問題。正如Dispensa所說的那樣，即使容易受到最新攻擊技術攻擊的帶外身份驗證形式都要比很多其他類型的雙因素身份驗證要安全。

“所有基于令牌的解決方案，網(wǎng)格卡等都可能被惡意軟件攻擊，”Dispensa注意到，“新的攻擊，即使是以它們最致命的形式，都需要兩個協(xié)調(diào)的感染（對用戶的移動電話或者計算機的感染）。這在實際操作中很難實現(xiàn)?！?/P>

“傳統(tǒng)的雙因素系統(tǒng)（例如安全令牌）存在致命的缺陷，并且經(jīng)常受到攻擊，因為只需要通過一個簡單的惡意軟件就可以繞過這些系統(tǒng)，”Dispensa表示，“帶外雙因素技術是新的最佳做法，我們希望看到更多的企業(yè)采用這種技術。對于40%被惡意軟件感染的計算機而言，利用手機進行身份驗證將更加安全?！?/P>

然而，隨著越來越多的惡意軟件開始蔓延到智能手機，這種優(yōu)勢可能無法永遠持續(xù)下去。

【編輯推薦】

1. 移動終端安全模塊技術研究
2. 配置IIS蜜罐來巧妙抵御黑客攻擊