网络安全 频道

揭秘网络犯罪:我们又应当如何应对

  【IT168 安全】你可能听说过中间人攻击,浏览器遭遇攻击(MitB)等类型的网络破坏行为。这个词在2005年就出现了,不过当时应用的并不是很频繁。现在,要感谢犯罪软件被当作一种MitB攻击形式,情况发生了变化。根据维基百科的定义,MitB指的是:

  “一种可以感染网络浏览器的木马,并有能力对页面进行修改,更换交易内容或插入其它交易,所有这一切都是在用户和所有主机应用程序都没有发现的隐蔽状态下进行的。

  无论SSL/PKI和或两种或三种因素认证解决方案之类的安全措施是否到位,MitB攻击都有可能会获得成功。”

  在一篇文章中,笔者提到了一个实例,在一起近50万美元的盗窃案中犯罪软件发笔者不知道任何金融机构正在使用这种方法。如果你知道挥了作用。在接下来的一篇文章中,笔者会对网银木马Zeus和URLZone的情况进行了介绍,它们也许就是盗窃案中使用的工具。而在本文中,笔者将对可能的解决方案进行全面而深入的介绍。

  提高自身安全自己保护自己

  因为钱是自己的,所以我们要主动采取措施保护它。竭尽所能来保护我们来之不易的积蓄。一旦我们的个人状态调整到非常好的状态,就可以在银行出现错误前清除掉它们。

  最简单有效的办法就是不使用网络银行。这是一个很好的想法,但对于不能去实际银行的人以及需要个人服务的情况来说,又应该怎么办?此外,我们不应该屈从于网络罪犯。考虑到这一点,让我们看看一些成员已经提出的解决方案。

  笔者如果不首先提到这一点就是疏忽了。任何解决方案都不是固若金汤,特别是针对犯罪软件这种不断发展的事物而言。因此,大家需要进行讨论,以确认哪些解决方案适合在网络银行中使用。请告诉笔者你对这些解决方案的看法。它们是:

  · 采用专用计算机,机器中仅安装运行操作系统(如果可能的话不要选择Windows)和网络浏览器,禁止安装其他应用程序(特别是电子邮件)。确保操作系统和网络浏览器安装了最新更新补丁。最后,该计算机只允许访问必须的金融门户网站,禁止访问任何其他网站。

  · 在只读引导区(LiveCD或锁定的闪存驱动器)中安装仅包含网络浏览器的Linux系统。采用此设置进行访问银行、金融或信用卡交易等操作。

  · 采用安装了最新主机操作系统的原始计算机。在计算机上建立一个普通虚拟机以及另一个专门用于上面提到过的金融交易的虚拟机(VM)。采用该虚拟机进行金融交易。

  使用苹果iPhone

  笔者最近看到一篇文章,在文章中提到,iPhone可以用来防范现有犯罪软件的变种。具有讽刺意味的,这是因为大多数用户不喜欢的一项功能。iPhone同时只能运行一个任务。因此,犯罪软件不能在后台运行。

  银行需要做些什么工作

  现在我们已经在竭尽所能保护自己,让我们来看看什么是金融机构必须做的。两个问题,对验证和核查过程进行改进。所有有关各方不要光说,要行动起来。大家应该了解交易的过程是否准确,一方当事人应该提出认证。

  认证

  处理金融事物、资金转移或信用卡交易的网站需要提供真正的多因素验证。在美国,笔者没有看到这种方式。如果笔者错了,请告诉笔者。你使用的银行或者信用卡,需要支持下面列出的多种因素:

  1、你知道的事情:举例来说密码、图片或问题的答案。

  2、你拥有的设备:举例来说一次性密码令牌(SecureID)、计算机硬件或智能钥匙卡。

  3、你自身的特征:举例来说指纹、视网膜、DNA或可验证的照片。

  这三个因素是按效果从低到高排列的。笔者的银行采用的就是单因素认证。首先,他们会提出安全问题:

  在笔者和银行都知道的所有三种因素中,它仅仅使用了一种,并且整个模式的安全性也很低。因此,笔者认为,在这种情况下,Zeus或URLZone可以成功地创建非法交易。

  交易验证

  看起来,世界各地的金融机构似乎都比美国的更关注交易验证过程。举例来说,一些欧洲用户就提到他们使用网络银行的时间就需要输入一个一次性密码,以核实每笔交易。

  对于大多数犯罪软件的防范来说,这是一个不错的主意,但Zeus和URLZone并没有被包括在内。它们都有一种绕过机制。Zeus和URLZone都能够破译验证码,并利用它来核实自己创建的交易。

  因此,现在所需要的是?

  现在我们需要的是官方交易验证。维基百科提供了其定义:

  “为保证安全性,交易验证必须使用带外技术(包含了两个独立的部分)或者一台独立的数字签名设备,举例来说,一台可编程的读卡器,以便对交易信息进行处理,通过加密方式进行细节的传输。”

0
相关文章