MitMo攻击凸显身份验证缺陷

日期: 2010-10-26 来源:TechTarget中国

  最近的大部分攻击活动都使用了最流行的Zeus木马攻击,专家表示,这说明被广泛使用的带外身份验证方法可能存在缺陷。

  这种被称为“移动中的人(MitMo)”的新型攻击技术允许攻击者利用部署在移动设备上的恶意软件来绕过密码验证系统(该系统通过短信向用户的手机发送身份验证信息)。

  “在交易验证系统中,客户会收到包含交易详情和进入网站的代码的短信,只有客户确认交易信息与实际交易信息相符时才会输入代码返回网站,”Trusteer首席执行官Mickey Boodaei表示,“交易验证被认为是阻止MitMo攻击的好办法,在这种攻击中,恶意软件试图代表受害者提交交易。”

  “然而MitMo攻击完全不受影响,它控制了移动设备,并且将验证信息转发给攻击者,然后从受害者的手机中删除,受害者完全不知情,”Boodaei表示。

  攻击者开始利用扩散的Zeus木马来执行MitMo攻击,银行业安全专家将继续与攻击者周旋以确保是真正的用户在执行操作。

  “银行需要调整心态,意识到双因素身份验证永远都会受到攻击者的威胁。被感染的移动电话与被感染的个人电脑带来的威胁都是一样的,”Fortinet公司的网络安全与威胁研究部门项目经理Derek Manky表示。

  银行需要想办法对用户进行培训,帮助他们保护他们的身份验证通道,Manky表示,“最终用户可能知道他们可能会从被感染的个人电脑或者网络钓鱼攻击中丢失他们的帐户信息,但是他们却没有注意到移动电话的危害。”

  虽然,教育的确是非常重要的因素,Boodaei认为银行需要帮助用户来保护这些身份验证通道。

  “银行应该利用技术来确保用户的计算机和网站之间以及用户的移动电话和网站之间的通信的安全,”Boodaei表示。

  “这需要在计算机和移动设备上部署额外的安全保护层,这样可以保护通信安全,并且防止恶意软件获取财务数据和登录信息,”Boodaei继续说道,“很多银行已经开始提供这种额外的安全保护。”

  企业可能还需要仔细考虑他们正在使用的带外一次性密码技术的类型来提高安全性。例如,在用户直接通过手机恢复短信的系统中(而不是简单地输入代码到浏览器)可能会更加安全。或者企业可以考虑不使用这种短信形式,而选择比较老旧的手段,例如打电话来作为带外身份验证。

  “我们暂时还没有发现能攻破这种机制的攻击,”PhoneFactor首席技术官兼创始人Steve Dispensa表示,“由于语音与智能手机上数据功能的逻辑分离,电话呼叫可以有效抵抗在手机上运行的恶意软件。”

  真正有安全意识的企业在添加语音生物识别技术到身份验证电话中时,甚至可以在语音通话中加多一层验证因素,也就是关于优先顺序的问题。正如Dispensa所说的那样,即使容易受到最新攻击技术攻击的带外身份验证形式都要比很多其他类型的双因素身份验证要安全。

  “所有基于令牌的解决方案,网格卡等都可能被恶意软件攻击,”Dispensa注意到,“新的攻击,即使是以它们最致命的形式,都需要两个协调的感染(对用户的移动电话或者计算机的感染)。这在实际操作中很难实现。”

  “传统的双因素系统(例如安全令牌)存在致命的缺陷,并且经常受到攻击,因为只需要通过一个简单的恶意软件就可以绕过这些系统,”Dispensa表示,“带外双因素技术是新的最佳做法,我们希望看到更多的企业采用这种技术。对于40%被恶意软件感染的计算机而言,利用手机进行身份验证将更加安全。”

  然而,随着越来越多的恶意软件开始蔓延到智能手机,这种优势可能无法永远持续下去。

  原文出处:http://safe.it168.com/a2010/1027/1118/000001118391.shtml

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

电子邮件地址不会被公开。 必填项已用*标注

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

相关推荐

  • OneLogin公司首席安全官构建新安全模型

    在2017年OneLogin公司的云身份和访问管理平台遭遇数据泄露事故后,该公司做出了重大改变,其中涉及新的管 […]

  • Telerik Web UI:加密漏洞能否缓解?

    最近看到报道称Telerik Web UI包含加密漏洞,这个漏洞是什么?企业是否应该考虑其他解决方案,还是这个漏洞可得到缓解?

  • 如何用移动应用评估来提高企业安全性?

    面对海量的应用,对企业来说,确定哪些应用用于企业用途是十分困难的。即使是最有用的应用都可能会增加企业安全风险,因此,安全团队需要将移动应用评估作为其工作的一部分……

  • MongoDB勒索攻击蔓延原因:不安全配置

    攻击者已经发现很多MongoDB配置存在缺陷,而这为勒索攻击打开了大门……与勒索软件攻击不同,其中数据被加密,在这种攻击中,攻击者可访问数据库、复制文件、删除所有内容并留下勒索字条——承诺在收到赎金后归还数据。