MitMo攻擊凸顯身份驗證缺陷
最近的大部分攻擊活動都使用了最流行的Zeus木馬攻擊,專家表示,這說明被廣泛使用的帶外身份驗證方法可能存在缺陷。
這種被稱為“移動中的人(MitMo)”的新型攻擊技術允許攻擊者利用部署在移動設備上的惡意軟件來繞過密碼驗證系統(該系統通過短信向用戶的手機發送身份驗證信息)。
“在交易驗證系統中,客戶會收到包含交易詳情和進入網站的代碼的短信,只有客戶確認交易信息與實際交易信息相符時才會輸入代碼返回網站,”Trusteer首席執行官Mickey Boodaei表示,“交易驗證被認為是阻止MitMo攻擊的好辦法,在這種攻擊中,惡意軟件試圖代表受害者提交交易。”
“然而MitMo攻擊完全不受影響,它控制了移動設備,并且將驗證信息轉發給攻擊者,然后從受害者的手機中刪除,受害者完全不知情,”Boodaei表示。
攻擊者開始利用擴散的Zeus木馬來執行MitMo攻擊,銀行業安全專家將繼續與攻擊者周旋以確保是真正的用戶在執行操作。
“銀行需要調整心態,意識到雙因素身份驗證永遠都會受到攻擊者的威脅。被感染的移動電話與被感染的個人電腦帶來的威脅都是一樣的,”Fortinet公司的網絡安全與威脅研究部門項目經理Derek Manky表示。
銀行需要想辦法對用戶進行培訓,幫助他們保護他們的身份驗證通道,Manky表示,“最終用戶可能知道他們可能會從被感染的個人電腦或者網絡釣魚攻擊中丟失他們的帳戶信息,但是他們卻沒有注意到移動電話的危害。”
雖然,教育的確是非常重要的因素,Boodaei認為銀行需要幫助用戶來保護這些身份驗證通道。
“銀行應該利用技術來確保用戶的計算機和網站之間以及用戶的移動電話和網站之間的通信的安全,”Boodaei表示。
“這需要在計算機和移動設備上部署額外的安全保護層,這樣可以保護通信安全,并且防止惡意軟件獲取財務數據和登錄信息,”Boodaei繼續說道,“很多銀行已經開始提供這種額外的安全保護。”
企業可能還需要仔細考慮他們正在使用的帶外一次性密碼技術的類型來提高安全性。例如,在用戶直接通過手機恢復短信的系統中(而不是簡單地輸入代碼到瀏覽器)可能會更加安全。或者企業可以考慮不使用這種短信形式,而選擇比較老舊的手段,例如打電話來作為帶外身份驗證。
“我們暫時還沒有發現能攻破這種機制的攻擊,”PhoneFactor首席技術官兼創始人Steve Dispensa表示,“由于語音與智能手機上數據功能的邏輯分離,電話呼叫可以有效抵抗在手機上運行的惡意軟件。”
真正有安全意識的企業在添加語音生物識別技術到身份驗證電話中時,甚至可以在語音通話中加多一層驗證因素,也就是關于優先順序的問題。正如Dispensa所說的那樣,即使容易受到最新攻擊技術攻擊的帶外身份驗證形式都要比很多其他類型的雙因素身份驗證要安全。
“所有基于令牌的解決方案,網格卡等都可能被惡意軟件攻擊,”Dispensa注意到,“新的攻擊,即使是以它們最致命的形式,都需要兩個協調的感染(對用戶的移動電話或者計算機的感染)。這在實際操作中很難實現。”
“傳統的雙因素系統(例如安全令牌)存在致命的缺陷,并且經常受到攻擊,因為只需要通過一個簡單的惡意軟件就可以繞過這些系統,”Dispensa表示,“帶外雙因素技術是新的最佳做法,我們希望看到更多的企業采用這種技術。對于40%被惡意軟件感染的計算機而言,利用手機進行身份驗證將更加安全。”
然而,隨著越來越多的惡意軟件開始蔓延到智能手機,這種優勢可能無法永遠持續下去。
【編輯推薦】
