歐洲網路犯罪份子和他們用來在全球34間銀行吸錢的迂迴手法已經被揭露了。這起前所未見,會破解多因子認證的跨平台攻擊(電腦和手機) – Emmental行動專注於進階技巧來繞過各金融單位增強的身份認證機制。這些單位似乎已經提供帳戶額外的保護。
首先,全球的金融機構應該被鼓勵而不是被指責,因為他們努力地實施了多因子認證(MFA)。大多數的消費者只希望能夠輕鬆地按一個鈕就能夠完成交易。從歷史的角度看,多因子認證一直是簡化網路銀行使用者體驗的限制之一。值得說明的是,這一切的惡意活動都發生在銀行自身的範圍外,完全是因為操控了受害者的設備。銀行現在必須檢視他們的網路和行動銀行身份驗證機制,假設有多個使用者設備出現問題?這不是個簡單的任務。
然而,這研究可以讓人看見未來可能會發生什麼。趨勢科技前瞻性威脅研究(FTR)團隊持續專注於網路犯罪趨勢在未來12到18個月(如果不是好幾年後)可能會發生的事情。Emmental行動就是個明顯的例子,讓人看到針對銀行及其最終使用者的攻擊模式在未來幾個月會變成如何。攻擊者會繼續開發下一代的網路釣魚(Phishing),加上中間人(MITM)攻擊來針對金融機構,這不僅會發生在歐洲,而且會發生在世界各地。正如我們之前對於Android應用程式,像是Perkele的研究,雙因子認證是可以被打敗的,尤其是當最終使用者被誘騙在自己的手機上安裝惡意軟體。一次性密碼(OTP)或認證有可能也將會被這些躲藏在我們行動設備上的惡意軟體所攔截。
這一箭對我們敲響了警鐘,即使我們的銀行並非列在此次攻擊活動中會被擷取使用者憑證的34個目標銀行。使用者還是必須採取必要的安全措施來保護設備,像是電子郵件/網頁信譽評比和手機惡意軟體/木馬偵測,以判斷點擊是否會導致惡意後果進入系統。最後,我們都必須從根本上做到「點擊連結前先想一想」。
@原文出處:Online Banking Challenges: Cybercriminals are Leveling Up作者:JD Sherry(技術和解決方案)
