7

MitB 攻撃について読んでいて、これについていくつか心配しています。

ウィキから:

強力な認証ツールを使用すると、取引が安全であるという顧客と銀行の両方の側で見当違いの信頼が高まるだけです。

MitB 攻撃に対抗する最も効果的な方法の 1 つは、帯域外 (OOB) トランザクション検証プロセスを使用することです。これは、ホスト (銀行) が受信したトランザクションの詳細を、ブラウザー以外のチャネルを介してユーザー (顧客) に検証することにより、MitB トロイの木馬を克服します。

したがって、これを明確にすると、本当に安全な唯一の方法はブラウザ以外の確認方法です。(電話やその他の外部ツールなど)

電子メールは OOB トランザクションとしてカウントされますか? または、MitB が偽のメールを送信する可能性はありますか?

コードだけで MitB を防ぐ方法はありますか?

編集: 私たちのローカル バンキング システムは物理的なキー生成システムを採用しているため、番号を取得するにはプッシュしてから、その番号をトランザクション フォームのフィールドに入力する必要があります。

MitB攻撃は、あなたがしたことすべてが安全で正しいように見せかけているように見えるので、それが安全と見なされるかどうかはわかりませんが、実際に起こったことは、送信時にフォームデータが変更され、現在別のデータに転送されていることです銀行口座。したがって、この keygen 番号にアクセスできます。

4

5 に答える 5

2

電子メールは OOB トランザクションとしてカウントされますか?

GMail のような Web メール サービスが普及していることを考えると、私No. .

于 2009-05-11T01:47:04.517 に答える
1

一般的に言って、あなたのマシンが感染しているなら、あなたは何があっても脆弱です。

物理トークンまたは「帯域外」トークンは、「ID」の問題を解決するように設計されており、ログインしている人が本人であるという確信を銀行に与えます。この種のメカニズムでは通常、「ワンタイムコード」手法を使用するため、誰かが銀行との会話を録音している場合でも、トークンを再利用することはできません。ただし、マルウェアがリアルタイムで傍受している場合、ログインに成功した後、悪意を持ってアカウントを制御する可能性がありますが、多くの場合、銀行は、アカウントから送金するなどの操作を行うたびに、新しい「コード」を要求します。したがって、マルウェアは、ユーザーがこれを合法的に実行するのを待ってから、要求を変更する必要があります。ただし、ほとんどのマルウェアはリアルタイムではなく、収集して後で使用するためにデータをサードパーティに送信します。これらを使用して"

あなたの質問に答えるために、これに対してコードだけで防御する方法はありません。あなたがすることはすべて、マルウェアの一部で具体的に回避される可能性があります。

于 2009-05-11T02:48:52.403 に答える
1

これは、ブラウザの中の男に対する私の見解です。ブラウザの男は次のようです。

  1. 被害者は立ち上がり、コンピュータから離れ、コンピュータに背を向けます。そのため、キーボードに触れたり、マウスを動かしたり、画面を見ることさえできません。
  2. ハッカーは被害者のコンピューターの後ろに座っています。
  3. 被害者が自分のコンピューターで作業したい場合は、ハッカーに依頼して代わりに実行してもらう必要があります。結果を見たい場合は、ハッカーにモニター上のデータを読み取るように依頼する必要があります。
  4. ハッカーは、自分が求めていることを実行していることをユーザーに納得させようと最善を尽くします。しかし、容赦なくこの状況を利用してみてください!

マン・イン・ザ・ブラウザ

簡単なケースとして:

  1. 被害者はハッカーに、 500 米ドルを母に送金する際にトランザクション フォームのデータを入力するように依頼する可能性があります。
  2. 代わりに、ハッカーはtransfer 10000USD を Jack に入力 できます。(送信前にフォームデータを改ざん)
  3. システムに「10000USD を Jack に送金しましたが、ハッカーは 500USD を Jack に送金した」と表示される場合があります。( 改ざん結果 HTML)
  4. 被害者は、送金が完了したことを確認するために、自分の口座残高を確認するよう求めます。
  5. ハッカーは、アカウントの残高が正しいと言うことができます (これは、たとえば、残高テーブルの最後の行を削除し、HTML で残高を変更することによって行うことができます)

メールの場合:

  1. あなたは電子メールを待っています。ハッカーに、銀行からの確認メールがあるかどうか尋ねてください。
  2. あなたはモニターを見ることができないので、彼はあなたが持っていると言います。(技術的には、偽の電子メールを簡単に生成できます)。(別のクリーンなコンピューターに座っていても、偽のメールが再び送信される可能性があります)

画像生成では攻撃を防ぐことはできません。

  1. ハッカーに尋ねると、私の銀行は送金情報を表示する必要がある画像を表示する必要があります。
  2. ハッカーの回答: はい、わかります。「お母さんに 500 米ドルを送金しています」と表示されています (画像は JavaScript で簡単に作成できます。または、ハッカーが画像の URL をサーバーに指定して、適切なデータを含む動的な画像を生成し、ごまかすことができます。ユーザー)

ブラウザ内の男がサイトの流れを変えるなど、非常に危険な事態が発生する可能性があります。この場合、OTP や kegen システムでも攻撃を防ぐことはできません。例えば:

  1. 残高を確認したいとハッカーに依頼する
  2. ハッカーは口座振替ページに行き、口座振替フォームに記入して 10000 米ドルをジャックに送金します (ただし、彼が何をしているのかはまったくわかりません。ただ待っているだけです)。ハッカーは鍵を要求するページに来ます。これはあなたが彼に与えなければならない鍵です。
  3. 今、ハッカーは言います: ええと、銀行はあなたの残高を見たいかどうか私に尋ねます、あなたはキーを入力しなければなりません.
  4. バランスのキーは奇妙に思えるかもしれませんが、とにかくそのキーを与えましょう、私はこの男を信頼しています!!
  5. ハッカーは転送フォームに戻り、キーを使用して転送を行います。

ご覧のとおり、ブラウザには Man のサーバー側のソリューションはありません。次のことができます。

  1. 帯域外ソリューションを使用して、重要な情報をユーザーに通知します。(これは、携帯電話を手に持っているようなものです。背中はコンピュータに向けられていますが、機密情報は信頼できるデバイスに送信され、重要な情報を見ることができます)
  2. 強化されたブラウザーを使用して、誰もその動作を変更できないようにします。(コンピュータの前に座ってください:))

MITB でできることの良いサンプルは、http ://www.tidos-group.com/blog/2010/12/09/man-in-the-browser-the-power-of-javascript- にあります。 at-the-example-of carberp/

于 2015-08-02T05:16:38.130 に答える
1

ウィキペディアの記事の主題である (および参照されている) 記事では、「攻撃方法」のステップ 1 が次のように述べられています。

  1. このトロイの木馬は、コンピュータのソフトウェア (OS またはアプリケーション) に感染します。

したがって、あなたの質問に対する答えは「いいえ」です。OS が感染すると、マルウェアは (少なくとも理論的には) メールを傍受する可能性があります。

余談ですが、一部のクライアント プラットフォーム (専用の POS 端末は言うまでもなく、携帯電話など) は、他のプラットフォームよりも感染しにくいものです。

于 2009-05-11T01:47:31.913 に答える
1

トランザクション情報の重要な部分を、2 次または 3 次のトランザクション検証ステップの一部として使用できると思います。つまり、銀行口座に #12345 を伝えたと思ったら、そのタイプの攻撃によってデータが改ざんされたために #54321 が聞こえた場合、2 次検証は暗号化チェックに失敗します。銀行は、関連情報を含む画像など、変更がより困難なものをエコー バックすることもできます。

この種の議論の問題点は、常により複雑になる可能性があるということです。電子メールはアウト オブ バンド ステップでは有効ではありません。なぜなら、ルートキットがあると想像しなければならないからです...それを止めたら、自分の OS が実際には悪意のある仮想マシンで実行されているゲスト OS であると想像しなければなりません...止めたらそれは、私はそれがマトリックスであると想像しなければならないと思います.200ドルの利用可能なクレジットで私のビザカードを保護するためにすべてを信頼することはできません. :)

于 2009-05-11T01:49:14.950 に答える