0

ここで説明されているようにhttp://blogs.gartner.com/avivah-litan/2010/04/22/watch-out-transaction-signing-is-being-socially-engineered/

侵害されたトランザクション署名の仕組みは、オンラインバンキングのユーザーが支払い要求を開始すると、銀行はユーザーに、ユーザーのEMVを使用して専用の帯域外EMVCAPリーダーでトランザクションに署名するように依頼することです。チップカードが挿入されました。ユーザーは、送金先の通貨額と送金先の口座を確認するために、リーダーに特定のコードと値を入力するように求められます。

詐欺師は、トランザクションの署名が開始されたことを知っていて、入力する値を変更するiframeをユーザーのブラウザの上に置くだけで、ユーザーは詐欺師の銀行口座を宛先アカウントではなく宛先アカウントとして入力することになりました。彼らは意図した。

トランザクションの署名に関しては、プロセス全体をPC(この場合)から完全に別のチャネルに移す必要があることを示しています。

「ユーザーのブラウザの上にiframeを置く」ことができる方法と、そのような詐欺を技術的に防ぐ方法を説明できますか?

4

2 に答える 2

2

見積もりからは明らかではありませんが、消費者エンドポイントの侵害について話しているようです。ユーザーがバンカートロイの木馬を手にしたため、PCは、誤解を招く情報を表示する可能性のある信頼できないデバイスになりました。この場合、トロイの木馬のオペレーターは、表示されている宛先アカウント番号を変更して、ユーザーがクレジットしていると思っていたのとは別の当事者に資金が流れるようにしました。

重要なのは、安全な決定を行うための完全なユーザーインターフェイスは、信頼できるデバイス上に存在する必要があるということです。PCから安全なデバイスに情報を入力すると、許可されている情報が画面に表示されるデバイスと同様に、ユーザーは情報が正しいことを確認できます。

しかし、消費者は通常、入力している口座番号が本当にクレジットしようとしている当事者の口座番号であることを知らないという点で欠けている部分があります。彼らが以前にその当事者と多くの取引を行ったことがない限り、彼らは口座番号を覚えていて、それが間違っているときにそれを見つけることができます(そしてそれでも必ずしもフラグを立てるわけではありません)。

これを修正するには、アカウントIDは、任意の番号ではなく、認識可能なもの、つまり発行が制御されるドメイン名のようなものである必要があります。ただし、フルサイズのキーボードが必要になるため、情報を入力する必要があるスタンドアロンデバイスでは問題が発生します。画面から情報を読み取るドイツのTANジェネレーターのような表示専用デバイスを使用して行うことも、不正な変更を防ぐために署名された読み取り可能なものにデコードする非常に長いアカウント番号を使用することもできます。

転送金額やユーザーが確認できる宛先など、安全なデバイスですべての決定が行われると、信頼できない仲介者(中間者としてのPC)の問題が解決され、トランザクションが安全になります。

その情報には取引の目的が含まれていませんが、コストを変更せずに、再販業者が特定の店舗で購入している実際の商品を変更する攻撃を想像することができます。

于 2012-05-07T09:49:25.177 に答える
1

これは、XSS(クロスサイトスクリプトン)攻撃のサンプルです。

たとえば、以前は特にプロフィールページにXSSの「穴」がたくさんあったFriendsterを例に挙げてみましょう。プロファイルページにスクリプトを挿入して、ページをログインページのように見せることができます。

別のユーザーが私のプロフィールを見ると、Friendsterのログインページのように見えます。次に、ユーザーはそれが詐欺ページであることを知らずに自分のユーザー名とパスワードを入力します。入力された値はストレージのためにマイサーバーにルーティングされ、ユーザーは実際のページにリダイレクトされます。

実際には、ユーザーはログアウトされませんでした。ユーザーはそれが合法的なページであると信じさせられ、アカウントの詳細を明らかにさせられました。

これを防ぐために、任意のHTMLやスクリプトがサイトを通過することを許可しないでください。攻撃には多くのエントリポイントがあり、通常は完全な検証が行われていない入力ボックスがあります。挿入されたスクリプトがページに存在する場合、イベントSSLされたサイトは安全ではありません。

于 2012-05-06T23:31:45.020 に答える