在用戶身份假冒攻擊中，攻擊者與受害者有兩種簡(jiǎn)單的關(guān)系：熟知和不知。熟知關(guān)系的攻擊者可以輕易的盜取受害者的登錄憑證(如：卡號(hào)、密碼、USBKEY等)，從而假冒受害者身份進(jìn)行網(wǎng)上銀行操作;不知關(guān)系的攻擊者要進(jìn)行攻擊需要一定的攻擊場(chǎng)景，如：處于同一個(gè)局域網(wǎng)環(huán)境，包括辦公局域網(wǎng)、公共WIFI網(wǎng)絡(luò)等，攻擊者利用ARP或代理攔截等技術(shù)攻擊獲取用戶登錄憑證，假冒受害者身份進(jìn)行網(wǎng)上銀行操作。

目前銀行針對(duì)身份假冒攻擊的防護(hù)，從登錄過(guò)程和登錄反饋兩個(gè)方面進(jìn)行防護(hù)。其一是采用HTTPS協(xié)議利用數(shù)字證書(shū)進(jìn)行身份驗(yàn)證，對(duì)“中間人攻擊”進(jìn)行提示并結(jié)合安全控件技術(shù)對(duì)敏感數(shù)據(jù)進(jìn)行加密，即便陷入中間人攻擊，也無(wú)法破譯登錄憑證;其二是利用登錄成功短信提醒和顯示上次登錄信息(包括：登錄時(shí)間、登錄IP地址、登錄失敗次數(shù)等)方式及時(shí)提醒用戶可能存在的假冒登錄。

通過(guò)我們的調(diào)研與分析認(rèn)為：采用HTTPS結(jié)合USBKEY數(shù)字證書(shū)技術(shù)，嚴(yán)格遵守SSL過(guò)程進(jìn)行雙向身份鑒別的防護(hù)效果較好，基本杜絕中間人攻擊。此類防護(hù)中USBKEY魯棒性是防御的重中之重。短信提醒和上次登錄信息的功能起到縮短發(fā)現(xiàn)時(shí)間，及時(shí)采取應(yīng)對(duì)措施的作用。但還需要銀行方面加大安全措施的宣傳力度，網(wǎng)上銀行用戶提高安全防范意識(shí)，同時(shí)默認(rèn)啟用或開(kāi)通相關(guān)的安全功能。

目前網(wǎng)上銀行通常會(huì)提供兩種版本的登錄——大眾版和專業(yè)版。大眾版采用HTTPS通信結(jié)合安全控件方式，無(wú)法避免中間人攻擊，但通過(guò)安全控件可保護(hù)登錄憑證，控件的加密強(qiáng)度和抗逆向分析能力成為攻防焦點(diǎn);專業(yè)版采用HTTPS通信、安全控件以及USBKEY方式。但大多數(shù)USBKEY在登錄環(huán)節(jié)并未使用，使得登錄防護(hù)效果與大眾版相同。另外，登錄提醒和提示信息量還有待豐富，以便網(wǎng)上銀行用戶能更清晰地進(jìn)行危險(xiǎn)判斷。

安全控件成為攻防焦點(diǎn)，USBKEY充分利用成為趨勢(shì)，用戶安全意識(shí)提升仍需繼續(xù)。