歐洲網路罪犯正使用迂迴戰術,以抽取全球各地 34 家銀行機構的資金,該行為已經暴露。這似乎是一個前所未有的跨平台攻擊 (包括PC和移動裝置),擊敗多因素身分驗證,愛曼托行動 (Operation Emmental) 將重點直接集中在繞過大型金融機構增強地身分驗證機制的先進活動上。而這些金融機構也出現了採取額外措施的帳號保護。
首先,全球各地的金融機構應該受到讚賞,不去抨擊,因為他們的努力得以實現多因素身分驗證 (MFA)。大多數消費者都希望減少阻力,在網路上運用 “Easy”樞紐來進行線上交易。從歷史上來看,多因素身分驗證一直讓體驗網路銀行使用者的限制元素。值得注意的是所有這些惡意行動的發生,都是在銀行生態系統範圍之外,並從受害人的設備加以操縱。銀行現在必須尋找出是誰設計他們的網路和移動銀行的身分驗證機制去假定多數使用者設備是否出現問題?這並不是一個簡單的任務。
然而,這項研究允許目睹到即將發生的事。FTR (Forward-Threat Looking Research) 團隊熱衷於專注在網路犯罪定位的去向在接下來的 12 至 18個月裡。對於如何尋找出針對銀行與其終端使用者的攻擊模式,愛曼托行動是未來幾個月內最明顯的例子。攻擊者持續針對金融機構網路釣魚,不僅在歐洲且在世界各地的金融機構中間人攻擊 (MiTM) 下一代工程師。正如我們所看到的和 Perkele 之前所研究的,對於 Android 的軟體封包措施,雙因素身分驗證可能會被打敗,尤其是如果最終用戶將受騙在自己的手機上安裝惡意軟體;惡意軟體將會非法隱藏在我們的行動裝置上,攔截一次性密碼 (OTP)或權杖令牌重要機密。
這攻擊橫跨了我們所有人,即使我們的銀行不是列為此行動中獲取使用者憑證的 34 家機構之一。但使用者必須採取必要的安全措施保護其電子郵件/網站信譽如移動式惡意軟體/Trojan木馬檢測,以確保他們將要點擊的連結會造成惡意代碼被丟棄在其系統上。最後,我們都必須從根本上解決問題,"在我們點擊連結之前先經過思考。"
資料來源:http://blog.trendmicro.com/online-banking-challenges-leveling-up/
正 新 電 腦 : www.pronew.com.tw 04-2473-8309
#跨平台攻擊 #網路犯罪 #網路銀行威脅 #多因素身分驗證(MFA) #網路釣魚 #愛曼托行動(Operation Emmental) #OTP一次性密碼 #eToken #iKey #攔截惡意軟體 #SafeNet #正新電腦
留言列表