MiTB为在线银行业务带来了新的威胁

摘要

     在线银行业务为金融机构和客户提供了很大的便利和巨大的商业机会。随着在线银行业务的不断普及，针对金融服务公司的恶意软件和攻击也越来越多。最近非常活跃的一种危险恶意软件就是浏览器中间者（MiTB）攻击，这种病毒是在用户使用在线交易时通过浏览器进行攻击。由于MiTB是在用户进行浏览时接入到银行的网站，因此任何传统的安全技术都不能探测或者保护客户免受这种攻击。然而，亚洲各家银行正在采取新的技术保护其业务以及重要客户。

 

正文

      在线银行业务为金融机构和客户提供了很大的便利和巨大的商业机会。提供24x7方式的银行业务服务意味着银行实际上是连续营业，并且全天候地为客户提供服务。为了引入更加以客户为中心的服务，更多的亚洲银行正在将互联网银行向移动银行扩展。

 

      我也是在线银行业务的忠实粉丝。在不断将业务组合安排与多种货币和地点的银行账户结合在一起的过程中，在对我的财务状况进行管理方面，再也没有比在线银行业务更方便的方式了，例如在机场候机楼支付信用卡账单或者在宾馆房间深更半夜进行资金转账已经成为司空见惯的事情了。

 

      但是，最近所发生的一些事情已经让我开始重新考虑对于在线银行业务的信任和期望。7月份，根据媒体报道，15家美国银行的信用卡系统遭受了一种宙斯银行特洛伊木马攻击。发现这种攻击的安全公司Trusteer注意到该攻击是通过公众非常熟悉、由Visa和MasterCard安全代码环境验证的浏览器感染宙斯病毒而引发的，宙斯病毒的感染改变了验证流程中的信息。在不到一个月的时间内，在东欧地区发现了另外一次宙斯病毒攻击，并感染了英国的10万多台个人电脑。犯罪分子获得了所有生成收入的证书，例如在线账号、登录信息、信用卡以及借记卡号码和账户余额等。

 

       虽然针对金融欺诈的恶意软件类型数量在不断上升，但是最危险和成熟的在线银行业务恶意软件类型就是浏览器中间者（MiTB）攻击。与上面所提到的攻击相似，MiTB是通过受感染的个人电脑浏览器发起攻击、获得用户的证书并改变交易细节。

 

 MiTB如何攻击?

       当用户进行任何在线银行业务交易时，MiTB恶意软件就会悄悄地操纵相关的请求。例如，当客户进行资金转账时，MiTB可能改变所请求的指令，例如转入账号或者转出账号。银行将收到MiTB的指令，就好像这些指令来自客户一样。同时，MiTB将生成与客户所请求不同的虚假交易确认细节，就好像该确认细节是由银行发送的一样。因此，无论是银行还是客户都不能意识到交易已经被篡改，而意识到时已经为时已晚。

 

       由于MiTB攻击者通过浏览器可以像用户本人那样访问银行系统，因此任何传统技术都不能保护客户免受病毒的攻击，例如多方式验证。基于风险的传统反欺诈工具要求用户回答一系列预先设定的安全问题或者分析用户的行为和模式，但是这种方法仍然不能探测到病毒的攻击。

 

       网络犯罪攻击的危害对于金融机构是非常大的，并且是可以预测的。而声誉和客户流失的损失也可能给收入带来灾难性的影响。今年早期的一项研究表明了应该对损失进行量化的警示，该报告表明美国金融服务行业2009年的损失总额达到了540亿美元。

 

       事实上，网络攻击不仅局限于金融行业。隐私和信息管理机构Ponemon Institute另外一项最近的研究涵盖了45家美国不同行业的组织，该研究表明，网络犯罪每年会使得每个组织遭受平均380万美元的损失。7月份公布的研究结果表明，相关的成本包括应对攻击的支出金额、企业经营中断的成本、收入损失以及财产和设备的损坏，其中最大的是每年在安全方面的常规支出。虽然金融服务行业是主要的攻击目标，但是研究也注意到了其他行业，例如在应对网络犯罪方面，政府部门和能源行业所遭受的损失都高于平均水平。

 

 领先一步

       虽然在亚洲还没有发现MiTB攻击，但是在该地区发生类似攻击行为只是时间问题。为了确保客户的信任以及构建其在线银行服务的完整性，一些亚洲金融机构已经通过采用不同的技术而在应对MiTB攻击方面领先一步。

 

       保护客户免受MiTB攻击的最常用技术就是通过分流（OOB）交易验证流程。通过个人电脑或者浏览器之外的通信渠道验证交易细节，各个银行就可以防范MiTB的攻击。SafeNet通过MobilePASS提供了OOB技术，即使用自动电话或者短信的形式验证交易。当发生在线交易时，银行会向客户的手机发送一个包含密码和交易细节的短息，只有当客户在银行网站上输入一次性的密码而对交易细节进行验证之后，交易才会继续。虽然OOB不能阻止用户下载MiTB恶意软件，但是却可以利用一个安全的通信渠道告知并批准交易。

 

       免受MiTB攻击的另外一种方式就是使用基于证书的验证，以及安全的浏览环境。通过将多方式验证与安全浏览器结合在一个USB令牌中，无论客户在什么地方，这种解决方案都可以提供安全的访问。当用户进行任何在线交易时，他们首先需要使用多种验证方式验证其身份，然后就可以使用令牌访问安全的浏览器来进行交易。SafeNet NG-FLASH预先设定浏览器来打开具体的网站，并阻止任何浏览其他未指定网站的企图。由于浏览器是被存储在外部USB驱动中，因此在线交易就可以与常规的在线互动相隔绝，以保护其免受MiTB恶意软件的威胁。

 

       这些只是防范MiTB攻击的一些技术。随着恶意软件数量和类型的快速不断增加，为了保护其业务和客户，亚洲银行需要不断地领先一步。全面的安全策略不仅需要在科技方面进行投资，还需要制定各种安全政策以对恶意软件感染进行回应并提供相应的教育。