趋势科技基于一次性密码的双因素身份验证绕过报告对于科技界的人来说并不是什么新鲜事,但它包装精美,甚至冠以更多阅读 用于品牌创意的大数据 大数据正在从根本上改变文件传输安全的未来 5 个最重要的犯罪 DNA 和犯罪数据来源 智能数据消除家庭安全威胁的 3 种重要方式 天秤座”是否说明了大数据的阴暗面? 使用大数据提高 Gmail 安全性的 4 种绝妙方法 故事是一样的:假装来自真实银行的优秀网络钓鱼电子邮件在嵌入式附件中包含恶意软件。单击时,该文件会下载并执行另一个伪装成 更新的文件——相反,它会安装恶意软件! 该恶意软件会做一些事情——更改 DNS 设置并重定向到攻击者的服务器;在用户系统中安装新的 SSL 证书;并在不留痕迹的情况下自行删除事后使反恶意软件变得无用。
流氓 SSL 证书 当用户试
图访问他们银行的登陆页面时,他们会被重定向到一个盗用他们的用户名/密码的虚假银行页面。然后,他们被要求输入银行移动应用程序发送的一次性密码 (OTP)——但是,短信 Whatsapp 手机号码列表 从未到达,因此网站提示用户安装一个伪装成 OTP 的恶意移动应用程序发电机。呼。 这个恶意 应用程序实际上拦截了银行发送的真正的双因素短信令牌,从而获得对用户帐户的访问权限并窃取他们的所有资金。 基于 OTP 的绕过恶意软件的历史 早在 3 月份,我就撰写了有关 的研究报告,该研究报告在今年于旧金山举行的 RSA 大会上展示了他们的工作,即窃取加密货币的恶意软件概况。虽然这是指比特币等货币的网上银行钱包,但它也适用于传统的网上银行。
他们报告中的引
发现了同样的事情,即恶意软件可以绕过基于 的双因素,尽管方法略有不同: 许多交易所已经使用一次性 实施双因素身份验证,以防止未经授权的登录。然而,更高级的恶意软件可以轻松绕过基于 的 ,方法是在使用 时拦截它并创建第二个隐藏的浏览器窗口,以便窃贼从用户自己的 EC列表 计算机登录帐户。 正如 的高级安全研究员 所说: 这正是我们强调推送短信的原因。后者太容易犯错,而这个特定的恶意软件/活动只是长线中的另一个移动中的宙斯”)是拦截通过 传送的一次性密码(和目标定位)的原始恶意软件家族之一欧洲的银行)。 是的,这是真的——早在 年,就写了另一篇博客,报告称某些 Zeus 变体尽管受到 OTP 双因素身份验证的保护,但仍可以侵入银行账户。
