長期防禦戰略及多層次防禦為贏得網路銀行戰爭之利器
【2015年8月28日台北訊】隨著網路蓬勃發展,愈來愈多的金融商品及服務都透過網路銀行提供,銀行惡意程式偵測已經成為金融單位與駭客之間的重要戰爭,網路金融交易安全議題更是引起金融業和資安廠商的熱烈討論。趨勢科技資深惡意程式分析師Sean Park在今年BlackHat大會演講中,即以「贏得網路銀行戰爭」為題,細述網路犯罪份子使用不同的隱身和閃避偵測技術,讓網路犯罪份子得以竊取網路銀行客戶憑證和操縱網銀交易,導致銀行木馬程式日益猖獗,並提出新的網路銀行安全框架「惡意軟體注入防禦系統(MIPS,Malware Inject Prevention System)」給銀行資訊人員和網頁應用程式開發者,並建議同時結合長期的戰略防禦機制及使用多層次防禦,為活絡的金融交易提供更長遠、安心的保護。
幾年前,自從竊取網路銀行憑證相關資訊的金融木馬惡意程式ZeuS現身後,網路犯罪份子即透過這種手法取得受害者重要個資及金融交易資料。此類攻擊成功的原因可能是因為ZeuS利用了模組化的作法,利用網頁應用程式竊取金錢(所謂的網頁注入Web Inject),讓犯罪份子得以繞過雙因子認證,竊取網路銀行客戶憑證和操縱網銀交易,也由於有利可圖,導致此類的銀行木馬程式攻擊日益猖獗。 繼續閱讀
