吳明宜網路銀行常用的雙因素認證往往給人比單純密碼更安全的印象。但Gartner Research副總裁Avivah Litan警告,已有網路不肖之徒利用特洛依木馬的中間人攻擊發動連線,成功突破雙因素認證的防護。
網路銀行常用的雙因素認證– 結合密碼及電腦產生的一次性密碼– 往往給人比單純密碼更安全的印象。
但 Gartner Research 副總裁 Avivah Litan 警告,已有網路不肖之徒利用特洛依木馬的中間人攻擊發動連線,成功突破雙因素認證的防護。
Litan 所撰寫的 Gartner Research 報告指出,過去幾個月,一些採用雙因素認證的銀行接連遭到中間人– 或稱「man-in-the-browser」– 攻擊。
歹徒用以騙過安全控制的手法之一叫 call forwarding(轉接)。
「資料竊賊誘騙電信公司將合法使用者的電話,轉到他們手機上,這招使仰賴電話做使用者交易認證的銀行再堅固的系統及流程都英雄無用武之地。受害者的帳戶或資訊都變成竊賊囊中物,如果銀行沒有做好有效防範的話。」
中間人攻擊是用軟硬體攔截流量,並傳給想傳的目的地,而接收雙方完全不知情。 Litan 表示此類攻擊可能用到特洛依木馬程式或其他惡意程式。
此類惡意程式有時也會使用反鑑識能力,改寫使用者帳戶,讓使用者相信銀行存款沒有減少,即使實際上已被偷光。
Gartner 報告建議企業採取監控使用者行為及交易值,或是頻外交易認證等等防護。
根據網際網路犯罪遵循中心 11 月的報告,到今年 10 月為止,網銀攻擊造成的損失已經高達 1 億美元。