在用戶身份假冒攻擊中，攻擊者與受害者有兩種簡單的關系：熟知和不知。熟知關系的攻擊者可以輕易的盜取受害者的登錄憑證(如：卡號、密碼、USBKEY等)，從而假冒受害者身份進行網上銀行操作;不知關系的攻擊者要進行攻擊需要一定的攻擊場景，如：處于同一個局域網環境，包括辦公局域網、公共WIFI網絡等，攻擊者利用ARP或代理攔截等技術攻擊獲取用戶登錄憑證，假冒受害者身份進行網上銀行操作。

目前銀行針對身份假冒攻擊的防護，從登錄過程和登錄反饋兩個方面進行防護。其一是采用HTTPS協議利用數字證書進行身份驗證，對“中間人攻擊”進行提示并結合安全控件技術對敏感數據進行加密，即便陷入中間人攻擊，也無法破譯登錄憑證;其二是利用登錄成功短信提醒和顯示上次登錄信息(包括：登錄時間、登錄IP地址、登錄失敗次數等)方式及時提醒用戶可能存在的假冒登錄。

通過我們的調研與分析認為：采用HTTPS結合USBKEY數字證書技術，嚴格遵守SSL過程進行雙向身份鑒別的防護效果較好，基本杜絕中間人攻擊。此類防護中USBKEY魯棒性是防御的重中之重。短信提醒和上次登錄信息的功能起到縮短發現時間，及時采取應對措施的作用。但還需要銀行方面加大安全措施的宣傳力度，網上銀行用戶提高安全防范意識，同時默認啟用或開通相關的安全功能。

目前網上銀行通常會提供兩種版本的登錄——大眾版和專業版。大眾版采用HTTPS通信結合安全控件方式，無法避免中間人攻擊，但通過安全控件可保護登錄憑證，控件的加密強度和抗逆向分析能力成為攻防焦點;專業版采用HTTPS通信、安全控件以及USBKEY方式。但大多數USBKEY在登錄環節并未使用，使得登錄防護效果與大眾版相同。另外，登錄提醒和提示信息量還有待豐富，以便網上銀行用戶能更清晰地進行危險判斷。

安全控件成為攻防焦點，USBKEY充分利用成為趨勢，用戶安全意識提升仍需繼續。