在當(dāng)今的數(shù)字時(shí)代，銀行和金融服務(wù)公司為了提高競(jìng)爭(zhēng)力，往往為客戶提供了在線管理資金的便捷功能。

但不幸的是，大多數(shù)銀行平臺(tái)都缺失安全設(shè)計(jì)，這導(dǎo)致黑客一直在利用這些潛在的隱患。

雖然在過(guò)去幾年針對(duì)銀行的攻擊手段變得更加復(fù)雜，但絕大多數(shù)攻擊依舊依賴于用戶欺騙。

例如，針對(duì)銀行的一種常見(jiàn)網(wǎng)絡(luò)釣魚(yú)攻擊，就是將目標(biāo)定向到惡意克隆的銀行網(wǎng)站。

一旦用戶嘗試登錄這個(gè)看起來(lái)很真實(shí)的虛假網(wǎng)站，該平臺(tái)會(huì)提示：服務(wù)不可用，從而混淆用戶，并存儲(chǔ)下用戶剛剛輸入的憑證信息(賬號(hào)密碼)。

這一切都是為了引導(dǎo)用戶犯錯(cuò)，而網(wǎng)絡(luò)釣魚(yú)還只是電子銀行時(shí)代應(yīng)該防范的攻擊之一。

以下介紹了黑客通過(guò)用戶攻擊銀行的五種方式：1. SMS swaps攻擊短信詐騙在銀行業(yè)已經(jīng)非常普遍。

首先，攻擊者竊取受害者的手機(jī)號(hào)碼以及手機(jī)ID，然后打電話給SIM卡中心聲稱自己手機(jī)丟失，并且已經(jīng)購(gòu)買了新的SIM卡，現(xiàn)在希望把舊號(hào)碼取回。

攻擊者使用那些可能從社交媒體帳戶上收集來(lái)的的安全I(xiàn)D和其他私人信息，說(shuō)服電信支持人員，換回手機(jī)號(hào)。

這種騙局甚至可以逃避安全保護(hù)。

大多數(shù)提供多因素身份驗(yàn)證(MFA)以保護(hù)在線銀行會(huì)話和應(yīng)用程序的銀行機(jī)構(gòu)都依賴基于SMS的MFA，而不是使用移動(dòng)令牌。

一旦黑客竊取了用戶的電話號(hào)碼，他們就可以訪問(wèn)短信，而這也意味著他們可以訪問(wèn)受害者的帳戶，即使它具有基于SMS的MFA。

2. MITM攻擊/中間人攻擊Man In-The-Middle(MITM)攻擊由來(lái)已久，但非常有效，攻擊者瞄準(zhǔn)的是基礎(chǔ)設(shè)施沒(méi)有被充分保護(hù)的銀行平臺(tái)。

他們不僅竊取資金，還攻擊銀行的基礎(chǔ)設(shè)施從而給銀行帶來(lái)負(fù)面影響。

攻擊者通過(guò)干擾用戶和銀行后端之間的網(wǎng)絡(luò)通信，篡改交易金額和賬戶信息。

這個(gè)攻擊一般可以通過(guò)銀行加密通信，使用特定證書憑證來(lái)預(yù)防。

但是，在使用TLS連接中，發(fā)現(xiàn)了漏洞。

常見(jiàn)的DNS欺騙技術(shù)可以很容易地定向受害者在同一Wi-Fi網(wǎng)絡(luò)下的流量，從而無(wú)法驗(yàn)證主機(jī)名。

因此，銀行防御MITM攻擊的最佳方式是通過(guò)實(shí)施令牌多因素簽名。

3. MITB攻擊MITB(Man-in-the-Browser attack)是一種感染在線瀏覽器的特洛伊木馬。

它扮演中間人攻擊的角色，嗅探和修改用戶在受感染瀏覽器上執(zhí)行的事務(wù)，但表面上仍然顯示用戶是在合法輸入。

大多數(shù)用戶認(rèn)為他們?cè)贖TTPS的網(wǎng)站上執(zhí)行事務(wù)時(shí)有SSL的保護(hù)，但事實(shí)上，SSL只保護(hù)瀏覽器和服務(wù)器之間傳輸?shù)臄?shù)據(jù)。

更好的證書管理可以預(yù)防感染，但是當(dāng)用戶使用個(gè)人計(jì)算機(jī)進(jìn)行銀行業(yè)務(wù)時(shí)，這很難保證。

幸運(yùn)的是，還可以通過(guò)多因素身份驗(yàn)證令牌來(lái)保護(hù)銀行事務(wù)。

4. 魚(yú)叉式網(wǎng)絡(luò)釣魚(yú)攻擊魚(yú)叉式網(wǎng)絡(luò)釣魚(yú)：攻擊者利用電子郵件欺騙技術(shù)，通過(guò)一個(gè)定制的、高度真實(shí)的網(wǎng)絡(luò)釣魚(yú)電子郵件來(lái)攻擊特定的組織或個(gè)人。

簡(jiǎn)而言之，這是一種更具針對(duì)性、復(fù)雜性且研究密集的網(wǎng)絡(luò)釣魚(yú)版本。

這種攻擊通常用于攻擊者所熟悉的組織，攻擊者利用內(nèi)部了解針對(duì)特定的負(fù)責(zé)付款的員工發(fā)起攻擊。

比如，他們可能會(huì)向會(huì)計(jì)發(fā)送一封電子郵件，表明是CFO要求他們支付一筆看似正常的款項(xiàng)。

如果員工相信了，于是進(jìn)入虛假網(wǎng)站或下載鏈接，就會(huì)導(dǎo)致MITM或MITB攻擊的觸發(fā)。

5. 移動(dòng)惡意軟件攻擊移動(dòng)銀行木馬是最靈活也最危險(xiǎn)的惡意軟件類型之一，旨在通過(guò)竊取用戶憑據(jù)從而竊取用戶帳戶中的資金。

它們看起來(lái)和Apple或Google商店中的真正App一樣，但當(dāng)用戶下載并運(yùn)行App時(shí)，它就會(huì)開(kāi)始監(jiān)控手機(jī)里的銀行App。

由于不是每個(gè)銀行App的設(shè)計(jì)都能合理地保護(hù)個(gè)人的資產(chǎn)，因此，實(shí)施不當(dāng)和開(kāi)源庫(kù)暴露都會(huì)讓帳戶和密碼很容易地被跟蹤。

銀行如何防御攻擊?對(duì)于銀行來(lái)說(shuō)，保護(hù)其支付系統(tǒng)的最佳方法之一就是為每筆資金交易添加MFA安全層。

即使客戶被欺騙登錄到一個(gè)偽造的網(wǎng)站或點(diǎn)擊了一個(gè)網(wǎng)絡(luò)釣魚(yú)鏈接，攻擊者也無(wú)法轉(zhuǎn)賬或付款。

以上這些攻擊操作都依賴于最終的用戶令牌，而銀行如果MFA控件到位，攻擊者將無(wú)法拿到這些令牌!銀行可以通過(guò)使用固定和隨機(jī)事務(wù)屬性(如名稱、值、帳戶、時(shí)間戳等)生成基于密碼的簽名，此外，如果正確實(shí)施，MFA也不會(huì)對(duì)銀行應(yīng)用或服務(wù)的用戶體驗(yàn)產(chǎn)生負(fù)面影響。

最后，銀行有責(zé)任讓客戶不斷地重新評(píng)估他們的安全措施，以抵御上述在線威脅，但客戶也在電子銀行安全中發(fā)揮著作用，需要了解最常見(jiàn)的銀行攻擊，了解他們的資金何時(shí)可能存在風(fēng)險(xiǎn)，并在必要時(shí)做好安全防范。