2013年07月12日08:42
【相关新闻】
日本的网上银行成为新型诈骗的目标,为此,各安全公司相继强化了防范最新诈骗手法的技术。针对未知的威胁预先采取对策的尝试不断增加。
“难以相信这些大型银行竟然同时成为攻击目标。”
2012年10月,以网上银行为目标的新型诈骗事件给了日本的银行和网络安全企业人士当头一棒。
遭到非法攻击的有三井住友银行、瑞穗银行、邮储银行及住信SBI网上银行等8家金融机构。
四家银行共计被非法转账460万日元
当时,用户访问这些网上银行的网站时,会出现要求输入密码和口令的非法弹出页面,用户不注意就会直接输入个人信息。截至2012年11月,不法分子在四家银行利用非法获得的信息进行的非法转账达到了约460万日元。
在此次事件中,犯罪团伙可能使用了日本此前从未出现过的最新攻击手段——“MitB(浏览器中间者)攻击”。
据日本警察厅透露,截至6月10日,2013年的非法转账总额已经超过2012年全年,达到了约1.23亿日元。“其中有很多都是MitB攻击”,对此,各银行纷纷采取了应对措施。
在介绍MitB攻击之前,先来简单整理一下针对网银的非法事件以及所采取的对策。保护金融资产的安全技术与犯罪分子作案手法之间是“道高一尺魔高一丈”的状态。攻击手法虽然难以彻底地按体系分类,不过大致可分为两种。
一种是使用户的个人电脑感染恶意软件,从而盗取ID和密码的方法。例如,擅自记录键盘的输入记录,或者获得画面截屏等。
对于这种攻击,各银行导入了“软键盘”,让用户在电脑画面上用鼠标输入,使犯罪分子无法盗取键盘输入记录。另外,还采取了事先向用户发放乱数表,取款时的第二密码采用基于该乱数表的可变密码的对策。
另一种攻击手法是“钓鱼欺诈”。典型的作案方法是,假冒银行的名义向用户发送邮件,诱导用户访问十分逼真的虚假页面,从而盗取ID和密码等重要信息。
为预防钓鱼欺诈,银行推出了利用电子证书以及在网上银行页面上的“电子水印”来检测虚假页面的软件。
 |
