售前咨询
技术支持
渠道合作

网络攻击5个典型攻击手段

近年来发生的多起大规模信息泄露事件,统计显示,我国每年因信息诈骗带来的损失数以亿元计,有单个受害者的损失甚至高达数千万元,且损失数据呈逐年递增趋势。

而网络钓鱼还只是互联网应该防范的攻击之一。以下介绍了黑客通过用户攻击银行的五种方式:

SMS swaps攻击

短信诈骗已经非常普遍。首先,攻击者窃取受害者的手机号码以及手机ID,然后打电话给SIM卡中心声称自己手机丢失,并且已经购买了新的SIM卡,现在希望把旧号码取回。攻击者使用那些可能从社交媒体帐户上收集来的的安全ID和其他私人信息,说服电信支持人员,换回手机号。

这种骗局甚至可以逃避安全保护。大多数提供多因素身份验证(MFA)以保护在线银行会话和应用程序的银行机构都依赖基于SMS的MFA,而不是使用移动令牌。一旦黑客窃取了用户的电话号码,他们就可以访问短信,而这也意味着他们可以访问受害者的帐户,即使它具有基于SMS的MFA。

MITM攻击/中间人攻击

Man In-The-Middle(MITM)攻击由来已久,但非常有效,攻击者瞄准的是基础设施没有被充分保护的平台。他们不仅窃取资金,还攻击企业基础设施从而带来负面影响。攻击者通过干扰用户和企业后端之间的网络通信,篡改交易金额和账户信息。这个攻击一般可以通过企业加密通信,使用特定证书凭证来预防。

但是,在使用TLS连接中,发现了漏洞。常见的DNS欺骗技术可以很容易地定向受害者在同一Wi-Fi网络下的流量,从而无法验证主机名。

MITB攻击

MITB(Man-in-the-Browser attack)是一种感染在线浏览器的特洛伊木马。它扮演中间人攻击的角色,嗅探和修改用户在受感染浏览器上执行的事务,但表面上仍然显示用户是在合法输入。

大多数用户认为他们在HTTPS的网站上执行事务时有SSL的保护,但事实上,SSL只保护浏览器和服务器之间传输的数据。

更好的证书管理可以预防感染,但是当用户使用个人计算机进行银行业务时,这很难保证。幸运的是,还可以通过多因素身份验证令牌来保护银行事务。

鱼叉式网络钓鱼攻击

鱼叉式网络钓鱼:攻击者利用电子邮件欺骗技术,通过一个定制的、高度真实的网络钓鱼电子邮件来攻击特定的组织或个人。简而言之,这是一种更具针对性、复杂性且研究密集的网络钓鱼版本。

这种攻击通常用于攻击者所熟悉的组织,攻击者利用内部了解针对特定的负责付款的员工发起攻击。比如,他们可能会向会计发送一封电子邮件,表明是CFO要求他们支付一笔看似正常的款项。如果员工相信了,于是进入虚假网站或下载链接,就会导致MITM或MITB攻击的触发。

移动恶意软件攻击

移动银行木马是最灵活也最危险的恶意软件类型之一,旨在通过窃取用户凭据从而窃取用户帐户中的资金。它们看起来和Apple或Google商店中的真正App一样,但当用户下载并运行App时,它就会开始监控手机里的企业App。由于不是每个企业App的设计都能合理地保护个人的资产,因此,实施不当和开源库暴露都会让帐户和密码很容易地被跟踪。

如何防御攻击?

对于企业来说,保护其支付系统的最佳方法之一就是为每笔资金交易添加MFA安全层。即使客户被欺骗登录到一个伪造的网站或点击了一个网络钓鱼链接,攻击者也无法转账或付款。

企业可以通过使用固定和随机事务属性(如名称、值、帐户、时间戳等)生成基于密码的签名,此外,如果正确实施,MFA也不会对企业应用或服务的用户体验产生负面影响。

企业有责任让客户不断地重新评估他们的安全措施,以抵御上述在线威胁,但客户也在企业网络安全中发挥着作用,需要了解最常见的企业攻击,了解他们的信息何时可能存在风险,并在必要时做好安全防范。

 

上一篇:

下一篇:

相关新闻

 

领取优惠
免费预约

申请试用SSL证书

提交成功!

咨询客服