長期防禦戰略及多層次防禦為贏得網路銀行戰爭之利器
【2015年8月28日台北訊】隨著網路蓬勃發展,愈來愈多的金融商品及服務都透過網路銀行提供,銀行惡意程式偵測已經成為金融單位與駭客之間的重要戰爭,網路金融交易安全議題更是引起金融業和資安廠商的熱烈討論。趨勢科技資深惡意程式分析師Sean Park在今年BlackHat大會演講中,即以「贏得網路銀行戰爭」為題,細述網路犯罪份子使用不同的隱身和閃避偵測技術,讓網路犯罪份子得以竊取網路銀行客戶憑證和操縱網銀交易,導致銀行木馬程式日益猖獗,並提出新的網路銀行安全框架「惡意軟體注入防禦系統(MIPS,Malware Inject Prevention System)」給銀行資訊人員和網頁應用程式開發者,並建議同時結合長期的戰略防禦機制及使用多層次防禦,為活絡的金融交易提供更長遠、安心的保護。
幾年前,自從竊取網路銀行憑證相關資訊的金融木馬惡意程式ZeuS現身後,網路犯罪份子即透過這種手法取得受害者重要個資及金融交易資料。此類攻擊成功的原因可能是因為ZeuS利用了模組化的作法,利用網頁應用程式竊取金錢(所謂的網頁注入Web Inject),讓犯罪份子得以繞過雙因子認證,竊取網路銀行客戶憑證和操縱網銀交易,也由於有利可圖,導致此類的銀行木馬程式攻擊日益猖獗。
這些惡意入侵不斷造成危害,偵測銀行惡意程式一直是資安產業極為重要的一環。Sean Park表示:「網路銀行受害者常常是因為在網銀交易進行過程中,看見網頁顯示出駭客偽造的交易未完成/失敗訊息,為了取消此交易而給出安全密碼。目前多數資安軟體和金融單位都透過網頁內容的完整性檢查與比對來偵測、防止惡意程式的攻擊,也就是掃描文件物件模型(DOM, Document Object Model),揪出銀行惡意程式所加入隱匿其中的Java Script以找出受感染的網銀網頁。」然而,許多新型的攻擊形式,例如:DOM Stealth(DOM 隱身攻擊)、DOM replay(DOM重播攻擊)等正逐漸崛起。Sean進一步解釋:「這些惡意程式已經能透過無效的記憶體參考模式(Memory Reference Patterns)、規避偵測腳本(Detection script evasion),甚至透過Rootkit技術攔截API函數的正常控制流程來讓惡意程式隱藏惡意組件,來反制躲避資安偵測,因此網路金融安全的防護方式需要改變。」
面對網路駭客的反制手法,Sean建議金融單位及網頁應用程式開發者應採用「惡意軟體注入防禦系統(MIPS)」網路銀行安全框架,將網路銀行安全框架建構在網頁應用程式等級,加強使用的隨機性以及MIPS本身加密(讓駭客無法直接解析MIPS原始碼),以增加駭客利用逆向工程拆解安全機制的技術門檻,同時,銀行業者應時時關注駭客攻擊手法的變化,並做好相對回應,避免在這場攻防戰中落居下風。
《 想了解更多關於網路安全的秘訣和建議,只要到趨勢科技粉絲網頁 或下面的按鈕按讚 》
《提醒》將滑鼠游標移動到粉絲頁右上方的「已說讚」欄位,勾選「搶先看」選項,最新貼文就會優先顯示在動態消息頂端,讓你不會錯過任何更新。
【推薦】防毒軟體大評比: 惡意程式防禦力 PC- cillin雲端版榮獲第一名!
【推薦】PC-cillin 雲端版 榮獲世界著名防毒評鑑機構高度評比
趨勢科技PC-cillin雲端版 ,榮獲 AV-TEST 「最佳防護」獎,領先28 款家用資安產品防毒軟體 ,可跨平台同時支援安裝於Windows、Mac電腦及Android、iOS 智慧型手機與平板電腦,採用全球獨家趨勢科技「主動式雲端截毒技術」,以領先業界平均 50 倍的速度防禦惡意威脅!即刻免費下載