7

一直在阅读有关 MitB 攻击的信息,有些事情让我担心。

来自维基

使用强大的身份验证工具只会增加客户和银行双方对交易安全的错误信心。

对抗 MitB 攻击的最有效方法之一是通过带外 (OOB) 事务验证过程。这通过验证主机(银行)通过浏览器以外的渠道向用户(客户)接收的交易详细信息来克服 MitB 木马

因此,如果我直截了当地说,唯一真正安全的方法是非浏览器确认方法。(如电话或其他一些外部工具)

电子邮件会算作 OOB 交易吗?或者 MitB 可以发送假电子邮件吗?

有没有办法只用代码来防止 MitB?

编辑:我问这个是因为我们当地的银行系统正在使用物理注册机系统,您必须按下该系统以获取一个号码,然后将该号码输入到交易表格中的一个字段中。

我不知道这是否被认为是安全的,因为看起来像 MitB 攻击只是让它看起来你所做的一切都是安全和正确的,但实际发生的是表单数据在提交时被更改,现在正在转移到其他一些银行账户。所以它可以访问这个注册机号码。

4

5 回答 5

2

电子邮件会算作 OOB 交易吗?

鉴于像 GMail 这样的 Web 邮件服务的普遍性,我会说不。即使这种攻击的目标不是使用 Web 邮件,控制目标浏览器的攻击者也可以像您建议的那样发送假电子邮件.

于 2009-05-11T01:47:04.517 回答
1

在该维基百科文章的主题(并被引用)的文章中,“攻击方法”中的第 1 步表述为:

  1. 木马会感染计算机的软件,无论是操作系统还是应用程序。

因此,您的问题的答案是“否”:一旦操作系统被感染,那么恶意软件也可以(至少理论上)拦截您的电子邮件。

顺便说一句,一些客户端平台(例如移动电话,更不用说专用的销售点终端)比其他客户端平台更不容易受到感染。

于 2009-05-11T01:47:31.913 回答
1

我想您可以将交易信息的关键部分用作二级或三级交易验证步骤的一部分。也就是说,如果我以为我告诉了银行账户#12345,它听到了#54321,因为数据被这种类型的攻击掺假了,那么二次验证将无法通过加密检查。银行也有可能回显一些更难以更改的内容,例如包含相关信息的图像。

这类讨论的问题在于它总是会变得更加复杂。电子邮件在带外是无效的,因为,我不得不想象我有一个 rootkit ......如果我停止它,我不得不想象我的操作系统实际上是一个运行在邪恶虚拟机中的客户操作系统......如果我停止那,我想我必须想象它是矩阵,我不能相信任何东西都可以用 200 美元的可用信用来保护我的签证卡。:)

于 2009-05-11T01:49:14.950 回答
1

一般来说,如果你的机器被感染了,那么无论如何你都是脆弱的。

物理令牌或“带外”令牌旨在解决“身份”问题,并使银行更加确信登录的人就是他们所说的人。这种机制通常涉及使用“一次性代码”技术,因此即使有人正在记录与银行的对话,令牌也不能被重复使用。但是,如果恶意软件是实时拦截的,那么他们可以在您成功登录后恶意控制账户,但银行通常会在您每次尝试从账户中转出资金时都需要一个新的“代码”。因此,恶意软件必须等待您合法地执行此操作,然后修改请求。然而,大多数恶意软件都不是实时的,它们会将数据发送给第三方以供收集和以后使用。使用这些“

要回答您的问题,没有办法仅在代码中对此进行防御。您所做的任何事情都可以在恶意软件中专门解决。

于 2009-05-11T02:48:52.403 回答
1

这是我对浏览器中的人的看法。浏览器中的人好像:

  1. 受害者站起身,离开电脑,背对着电脑,这样他就无法触摸键盘、移动鼠标​​,甚至看不到屏幕。
  2. 黑客坐在受害者计算机后面。
  3. 如果受害者想使用他的计算机,他必须要求黑客为他做这件事。如果他想看到任何结果,他必须让黑客读取监视器上的数据。
  4. 黑客尽最大努力说服用户他正在做他要求的事情,并重复他所掌握的内容。但尽量不留情面地利用这种情况!

浏览器中的人

作为一个简单的案例:

  1. 受害者可能会要求黑客填写交易表格数据作为向妈妈转账 500 美元
  2. 黑客可以输入 transfer 10000USD to Jack。(发送前篡改表单数据)
  3. 系统可能会显示,我已将 10000 美元转给杰克,但黑客说 500 美元已转给杰克。(篡改结果 HTML)
  4. 受害者要求查看他的账户余额,以确保转账已完成。
  5. 黑客可以说帐户余额是正确的(例如,可以通过删除余额表的最后一行并更改 HTML 中的余额金额来完成)

至于电子邮件:

  1. 您正在等待一封电子邮件,并询问黑客我是否有来自银行的确认电子邮件。
  2. 由于您看不到显示器,他说是的,您有。(从技术上讲,他可以轻松生成假电子邮件)。(即使您坐在另一台干净的计算机上,也可能再次向您发送虚假电子邮件)

图像生成无法防止攻击。

  1. 黑客,我的银行应该给我一张显示转账信息的图片,你能看到吗,上面写着什么。
  2. 黑客回复:是的,我看到了,上面写着“你正在向妈妈转账 500 美元”(该图像可以很容易地通过 JavaScript 创建或者黑客可以将图像 url 指向服务器,该服务器会生成带有适当数据的动态图像以作弊用户)

当浏览器中的人改变站点的流程时,可能会发生非常危险的情况。在这种情况下,即使是 OTP 或 kegen 系统也无法阻止攻击。例如:

  1. 你问黑客你想看看你的余额
  2. 黑客进入转帐页面,填写转帐表格将10000USD转给jack(但你根本不知道他在做什么,你只是在等待)他来到一个向他询问密钥的页面。这是你必须给他的钥匙。
  3. 现在,黑客:好吧,银行问我是否要查看余额,您必须输入密钥。
  4. 你认为,平衡的钥匙似乎很奇怪,但无论如何,让我们把钥匙给我吧,我相信这家伙!!
  5. 黑客切换回传输形式并使用密钥进行传输。

如您所见,在浏览器中没有针对 Man 的服务器端解决方案,您可以:

  1. 使用带外解决方案向用户通知关键信息。(这就像你拿着手机,虽然你的背仍然是你的电脑,但敏感信息被发送到你的受信任的设备,你可以看到关键信息)
  2. 使用强化的浏览器来确保没有人可以改变它的行为。(坐回你的电脑:))

可以在以下位置找到 MITB 可以完成的良好示例:http ://www.tidos-group.com/blog/2010/12/09/man-in-the-browser-the-power-of-javascript-以carberp为例/

于 2015-08-02T05:16:38.130 回答