2013年07月12日08:42
【相關新聞】
日本的網上銀行成為新型詐騙的目標,為此,各安全公司相繼強化了防范最新詐騙手法的技術。針對未知的威脅預先採取對策的嘗試不斷增加。
“難以相信這些大型銀行竟然同時成為攻擊目標。”
2012年10月,以網上銀行為目標的新型詐騙事件給了日本的銀行和網絡安全企業人士當頭一棒。
遭到非法攻擊的有三井住友銀行、瑞穗銀行、郵儲銀行及住信SBI網上銀行等8家金融機構。
四家銀行共計被非法轉賬460萬日元
當時,用戶訪問這些網上銀行的網站時,會出現要求輸入密碼和口令的非法彈出頁面,用戶不注意就會直接輸入個人信息。截至2012年11月,不法分子在四家銀行利用非法獲得的信息進行的非法轉賬達到了約460萬日元。
在此次事件中,犯罪團伙可能使用了日本此前從未出現過的最新攻擊手段——“MitB(瀏覽器中間者)攻擊”。
據日本警察廳透露,截至6月10日,2013年的非法轉賬總額已經超過2012年全年,達到了約1.23億日元。“其中有很多都是MitB攻擊”,對此,各銀行紛紛採取了應對措施。
在介紹MitB攻擊之前,先來簡單整理一下針對網銀的非法事件以及所採取的對策。保護金融資產的安全技術與犯罪分子作案手法之間是“道高一尺魔高一丈”的狀態。攻擊手法雖然難以徹底地按體系分類,不過大致可分為兩種。
一種是使用戶的個人電腦感染惡意軟件,從而盜取ID和密碼的方法。例如,擅自記錄鍵盤的輸入記錄,或者獲得畫面截屏等。
對於這種攻擊,各銀行導入了“軟鍵盤”,讓用戶在電腦畫面上用鼠標輸入,使犯罪分子無法盜取鍵盤輸入記錄。另外,還採取了事先向用戶發放亂數表,取款時的第二密碼採用基於該亂數表的可變密碼的對策。
另一種攻擊手法是“釣魚欺詐”。典型的作案方法是,假冒銀行的名義向用戶發送郵件,誘導用戶訪問十分逼真的虛假頁面,從而盜取ID和密碼等重要信息。
為預防釣魚欺詐,銀行推出了利用電子証書以及在網上銀行頁面上的“電子水印”來檢測虛假頁面的軟件。
 |
