發表日期:2017-04 文章編輯:小燈 瀏覽次數:1881
本周在圣馬丁召開的安全分析峰會(Security Analyst Summit)上,卡巴斯基實驗室研究人員Fabio Assolini 和 Dmitry Bestuzhev介紹了巴西銀行被攻擊的案例分析。?
從去年10月份開始的三個月里,巴西銀行的所有36個銀行域名、企業電子郵件和DNS都被黑客控制。攻擊者利用偽造的HTTPS頁面網絡釣魚獲取用戶憑證和訪問行為,還向訪問者分發惡意軟件。
研究人員介紹稱,這可能是攻擊者通過釣魚攻擊銀行內部員工,獲取DNS的訪問權限,從而把銀行的流量定向到他們的服務器,并實現網絡釣魚和惡意軟件分發。大多數DNS服務商提供雙因素身份認證,但該銀行沒有使用這項功能,增加了DNS賬戶被盜的風險。
研究人員深入調查發現,引誘受害者輸入支付卡信息的釣魚頁面是加載到銀行域名上的,并顯示一張免費SSL證書機構頒發的有效證書。免費SSL證書僅驗證域名所有權,不需要進行其他身份信息驗證(如組織驗證、銀行驗證、電話驗證等),攻擊者控制銀行DNS后,即可輕松地匿名獲取銀行域名的免費SSL證書。
匿名惡意證書的攻擊隱匿性非常強,對于普通用戶來說,他們在正確的網站上使用HTTPS連接,一切看起來都很正常,用戶很難察覺網站已經被劫持。精通技術的用戶可能會通過查看DNS記錄或發現網站突然更換了CA而注意到網站出了問題,但在沒有任何異常的情況下,用戶很難會突然去檢查這些細節。
對于網站來說,做好以下幾點將有助于降低這類攻擊的威脅,保護網站安全:
1、對DNS更好地控制和監督至關重要,案例中的銀行沒有使用雙因素身份驗證,使得DNS賬號很容易被盜。
2、銀行網站應使用EV級別的SSL證書。一方面,EV SSL證書需要嚴格驗證申請單位的身份,攻擊者很難申請到這類證書;另一方面,EV SSL證書顯示醒目的綠色地址欄和單位名稱,一旦頁面被劫持,醒目的綠色地址欄突然消失,會引起用戶的警覺,從而發現網站出現異常。
3、銀行還應該加強HTTPS的配置,HTTP公鑰訂(HPKP)是可選擇的SSL/TLS安全功能,通過HTTP頭部設置實現。它允許網站向客戶端提供一組被授權用于HTTPS連接的公鑰,如果客戶端連接該網站時接收的不是被授權的公鑰,它將拒絕創建連接。
4、證書頒發機構授權(CAA)是另一項保護網站免受惡意證書攻擊的安全措施,它是由設置DNS記錄實現,允許網站選擇可接受哪些CA頒發的證書。CA/B論壇最近投票批準了將CAA(證書頒發機構授權)作為證書頒發標準的基本要求之一,這項措施將在2017年9月正式生效。
互聯網逐步遷移到HTTPS加密后,讓網站充分展現真實身份信息變得越來越重要,教導用戶識別真實網站身份信息,免受匿名惡意證書的攻擊,是互聯網安全發展的另一重要步伐。
參考來源:Threatpost , ?thesslstore
日期:2018-04 瀏覽次數:6763
日期:2017-02 瀏覽次數:3438
日期:2017-09 瀏覽次數:3659
日期:2017-12 瀏覽次數:3529
日期:2018-12 瀏覽次數:4819
日期:2016-12 瀏覽次數:4584
日期:2017-07 瀏覽次數:13647
日期:2017-12 瀏覽次數:3508
日期:2018-06 瀏覽次數:4267
日期:2018-05 瀏覽次數:4446
日期:2017-12 瀏覽次數:3558
日期:2017-06 瀏覽次數:3984
日期:2018-01 瀏覽次數:3945
日期:2016-12 瀏覽次數:3915
日期:2018-08 瀏覽次數:4428
日期:2017-12 瀏覽次數:3708
日期:2016-09 瀏覽次數:6407
日期:2018-07 瀏覽次數:3208
日期:2016-12 瀏覽次數:3232
日期:2018-10 瀏覽次數:3386
日期:2018-10 瀏覽次數:3482
日期:2018-09 瀏覽次數:3580
日期:2018-02 瀏覽次數:3600
日期:2015-05 瀏覽次數:3521
日期:2018-09 瀏覽次數:3308
日期:2018-06 瀏覽次數:3435
日期:2017-02 瀏覽次數:3874
日期:2018-02 瀏覽次數:4339
日期:2018-02 瀏覽次數:4176
日期:2016-12 瀏覽次數:3574
Copyright ? 2013-2018 Tadeng NetWork Technology Co., LTD. All Rights Reserved.