欢迎您光临深圳塔灯网络科技有限公司!
电话图标 余先生:13699882642

网站百科

为您解码网站建设的点点滴滴

巴西银行网站攻击案例分析

发表日期:2017-04 文章编辑:小灯 浏览次数:1813

本周在圣马丁召开的安全分析峰会(Security Analyst Summit)上,卡巴斯基实验室研究人员Fabio Assolini 和 Dmitry Bestuzhev介绍了巴西银行被攻击的案例分析。​

从去年10月份开始的三个月里,巴西银行的所有36个银行域名、企业电子邮件和DNS都被黑客控制。攻击者利用伪造的HTTPS页面网络钓鱼获取用户凭证和访问行为,还向访问者分发恶意软件。

研究人员介绍称,这可能是攻击者通过钓鱼攻击银行内部员工,获取DNS的访问权限,从而把银行的流量定向到他们的服务器,并实现网络钓鱼和恶意软件分发。大多数DNS服务商提供双因素身份认证,但该银行没有使用这项功能,增加了DNS账户被盗的风险。

研究人员深入调查发现,引诱受害者输入支付卡信息的钓鱼页面是加载到银行域名上的,并显示一张免费SSL证书机构颁发的有效证书。免费SSL证书仅验证域名所有权,不需要进行其他身份信息验证(如组织验证、银行验证、电话验证等),攻击者控制银行DNS后,即可轻松地匿名获取银行域名的免费SSL证书。

匿名恶意证书的攻击隐匿性非常强,对于普通用户来说,他们在正确的网站上使用HTTPS连接,一切看起来都很正常,用户很难察觉网站已经被劫持。精通技术的用户可能会通过查看DNS记录或发现网站突然更换了CA而注意到网站出了问题,但在没有任何异常的情况下,用户很难会突然去检查这些细节。

对于网站来说,做好以下几点将有助于降低这类攻击的威胁,保护网站安全:

1、对DNS更好地控制和监督至关重要,案例中的银行没有使用双因素身份验证,使得DNS账号很容易被盗。

2、银行网站应使用EV级别的SSL证书。一方面,EV SSL证书需要严格验证申请单位的身份,攻击者很难申请到这类证书;另一方面,EV SSL证书显示醒目的绿色地址栏和单位名称,一旦页面被劫持,醒目的绿色地址栏突然消失,会引起用户的警觉,从而发现网站出现异常。

3、银行还应该加强HTTPS的配置,HTTP公钥订(HPKP)是可选择的SSL/TLS安全功能,通过HTTP头部设置实现。它允许网站向客户端提供一组被授权用于HTTPS连接的公钥,如果客户端连接该网站时接收的不是被授权的公钥,它将拒绝创建连接。

4、证书颁发机构授权(CAA)是另一项保护网站免受恶意证书攻击的安全措施,它是由设置DNS记录实现,允许网站选择可接受哪些CA颁发的证书。CA/B论坛最近投票批准了将CAA(证书颁发机构授权)作为证书颁发标准的基本要求之一,这项措施将在2017年9月正式生效。

互联网逐步迁移到HTTPS加密后,让网站充分展现真实身份信息变得越来越重要,教导用户识别真实网站身份信息,免受匿名恶意证书的攻击,是互联网安全发展的另一重要步伐。

参考来源:Threatpost ,  thesslstore


本页内容由塔灯网络科技有限公司通过网络收集编辑所得,所有资料仅供用户学习参考,本站不拥有所有权,如您认为本网页中由涉嫌抄袭的内容,请及时与我们联系,并提供相关证据,工作人员会在5工作日内联系您,一经查实,本站立刻删除侵权内容。本文链接:https://dengtar.com/20429.html
相关开发语言
 八年  行业经验

多一份参考,总有益处

联系深圳网站公司塔灯网络,免费获得网站建设方案及报价

咨询相关问题或预约面谈,可以通过以下方式与我们联系

业务热线:余经理:13699882642

Copyright ? 2013-2018 Tadeng NetWork Technology Co., LTD. All Rights Reserved.    

  • QQ咨询
  • 在线咨询
  • 官方微信
  • 联系电话
    座机0755-29185426
    手机13699882642
  • 预约上门
  • 返回顶部