实时网络钓鱼攻击增加

根据Trusteer的说法,现在利用实时的人在身份验证的网站对使用双因子认证的网站进行攻击的30%才能绕过这种可信的安全机制。这些调查结果基于监测数千个网络钓鱼攻击。

根据Mickey Boodaei,Trusteer’S CEO,在实时网络钓鱼攻击中,用户将详细信息进入网络钓鱼网站,捕获银行凭据和身份验证信息。然后,被盗凭证立即用于在真正的银行网站上开一个会话来提交欺诈。

通常在实时网络钓鱼中捕获和使用犯罪分子的身份验证信息包括:一次密码(OTP),令牌,短信身份验证;卡和读者–使它们无效地反对这种攻击。

到目前为止的大多数网络钓鱼攻击都是完全静态的。在传统的网络钓鱼攻击中,受害者达到网络钓鱼网站,提交登录凭据,这些凭据存储在e-犯罪分子以后使用。强大的双因素身份验证系统引入,特别是一次性密码,呈现这些攻击无用,因为欺诈者无法使用静态被盗凭据来欺诈。通过强大的两个因素身份验证,用户必须作为登录过程的一部分提供OTP。

有许多OTP方法,其中一些是基于用户随身携带的令牌设备,其他人被发送给用户’每次用户尝试登录时,将手机作为SMS文本或语音呼叫。 OTP.’s及时有限。

即使欺诈者设法捕获OTP数据,也只有很短的时间段可以使用此数据。有一段时间,使用强大的双因素认证的网站报告了网络钓鱼攻击的显着下降。但是,电子犯罪分子没有放弃。

“最近,我们注意到3种不同的大陆增加了一种称为中间人网络钓鱼或实时网络钓鱼的攻击类型。此策略允许欺诈者完全绕过双重认证。这个概念不是一个新的并且在安全世界中众所周知;但是,到目前为止,我们避开了’看到这样的攻击太多了。近期对现在遇到这种攻击的网站的升级是迫切关注的原因,” said Boodaei.

在一个中间攻击中,网络钓鱼网站实时连接到银行网站。用户提交给网络钓鱼站点(包括OTPS)的凭证被盗并立即使用欺诈者使用,并与银行网站启动欺诈性会话。它没有’如果网站使用专用OTP令牌,短信认证,卡和读写,或任何其他类型的双因素身份验证。

乍一看,实时网络钓鱼似乎就像任何其他网络钓鱼攻击一样。然而,仔细检查恶意网站,可以确定它实际上是实时连接到银行。这使任何提交给假网页的信息就会立即发布到银行网站。

许多使用强有力的双因素认证的组织都不屑一顾,因为他们认为他们无法绕过其安全控制。这已不再是这种情况。使用具有实时功能的网络钓鱼套件欺诈者已经改进了他们的操作,以实时进行欺诈。

“通过实时网络钓鱼,OTPS变得无用。 OTP没有更新或改进,可以打败实时网络钓鱼。最好的防御形式是实现动态的安全层,包括浏览安全性,可以适应和阻止新的威胁,” said Boodaei.

分享这个