Óla*_*age 7 browser security trojan
正在阅读MitB攻击,有些事情让我担心这一点.
来自WIKI:
使用强大的身份验证工具只会增加客户和银行对交易安全的错误信心.
打击MitB攻击的最有效方法之一是通过带外(OOB)事务验证过程.这通过验证主机(银行)通过除浏览器之外的通道向用户(客户)接收的交易细节来克服MitB木马
因此,如果我直截了当,唯一真正安全的方法是非浏览器确认方法.(比如打电话或其他一些外部工具)
电子邮件是否算作OOB交易?或者MitB发送假电子邮件?
有没有办法只用代码来阻止MitB?
编辑:我问这个是因为我们的本地银行系统正在使用一个物理keygen系统,你必须推送一个数字,然后在交易表格中输入该数字.
我不知道这是否被认为是安全的,因为它看起来像是一个MitB攻击只是让你看起来像你所做的一切是安全和正确的,但实际发生的是表单数据在提交时被更改,现在转移到其他一些银行账户.所以它可以访问这个keygen号码.
一般来说,如果您的计算机被感染,那么无论如何您都容易受到攻击。
物理令牌或“带外”令牌旨在解决“身份”问题,并使银行更有信心登录的人就是他们所说的人。此类机制通常涉及使用“一次性代码”技术,因此即使有人记录与银行的对话,令牌也无法重复使用。但是,如果恶意软件实时拦截,那么它们可以在您成功登录后恶意控制帐户,但每次您尝试执行从帐户转出资金等操作时,银行通常都需要新的“代码”。因此,恶意软件必须等待您合法地执行此操作,然后修改请求。然而,大多数恶意软件都不是实时的,它们会将数据发送给第三方以供收集和稍后使用。使用这些“一次性令牌”技术可以成功防御登录数据的这种后处理,因为记录的数据以后无法用于登录。
要回答您的问题,仅在代码中无法防御此问题。你所做的任何事情都可以在恶意软件中专门解决。
| 归档时间: |
|
| 查看次数: |
3127 次 |
| 最近记录: |
