網(wǎng)站百科

為您解碼網(wǎng)站建設(shè)的點(diǎn)點(diǎn)滴滴

首頁(yè) > > 網(wǎng)站建設(shè)知識(shí) > 建站知識(shí) > 開(kāi)發(fā)語(yǔ)言

企業(yè)建站知識(shí) 推廣知識(shí) 小程序微信營(yíng)銷 APP開(kāi)發(fā) 前端設(shè)計(jì) MindManager 開(kāi)發(fā)語(yǔ)言自媒體

巴西銀行網(wǎng)站攻擊案例分析

發(fā)表日期：2017-04 文章編輯：小燈瀏覽次數(shù)：2034

本周在圣馬丁召開(kāi)的安全分析峰會(huì)(Security Analyst Summit)上，卡巴斯基實(shí)驗(yàn)室研究人員Fabio Assolini 和 Dmitry Bestuzhev介紹了巴西銀行被攻擊的案例分析。?

從去年10月份開(kāi)始的三個(gè)月里，巴西銀行的所有36個(gè)銀行域名、企業(yè)電子郵件和DNS都被黑客控制。攻擊者利用偽造的HTTPS頁(yè)面網(wǎng)絡(luò)釣魚(yú)獲取用戶憑證和訪問(wèn)行為，還向訪問(wèn)者分發(fā)惡意軟件。

研究人員介紹稱，這可能是攻擊者通過(guò)釣魚(yú)攻擊銀行內(nèi)部員工，獲取DNS的訪問(wèn)權(quán)限，從而把銀行的流量定向到他們的服務(wù)器，并實(shí)現(xiàn)網(wǎng)絡(luò)釣魚(yú)和惡意軟件分發(fā)。大多數(shù)DNS服務(wù)商提供雙因素身份認(rèn)證，但該銀行沒(méi)有使用這項(xiàng)功能，增加了DNS賬戶被盜的風(fēng)險(xiǎn)。

研究人員深入調(diào)查發(fā)現(xiàn)，引誘受害者輸入支付卡信息的釣魚(yú)頁(yè)面是加載到銀行域名上的，并顯示一張免費(fèi)SSL證書機(jī)構(gòu)頒發(fā)的有效證書。免費(fèi)SSL證書僅驗(yàn)證域名所有權(quán)，不需要進(jìn)行其他身份信息驗(yàn)證（如組織驗(yàn)證、銀行驗(yàn)證、電話驗(yàn)證等），攻擊者控制銀行DNS后，即可輕松地匿名獲取銀行域名的免費(fèi)SSL證書。

匿名惡意證書的攻擊隱匿性非常強(qiáng)，對(duì)于普通用戶來(lái)說(shuō)，他們?cè)谡_的網(wǎng)站上使用HTTPS連接，一切看起來(lái)都很正常，用戶很難察覺(jué)網(wǎng)站已經(jīng)被劫持。精通技術(shù)的用戶可能會(huì)通過(guò)查看DNS記錄或發(fā)現(xiàn)網(wǎng)站突然更換了CA而注意到網(wǎng)站出了問(wèn)題，但在沒(méi)有任何異常的情況下，用戶很難會(huì)突然去檢查這些細(xì)節(jié)。

對(duì)于網(wǎng)站來(lái)說(shuō)，做好以下幾點(diǎn)將有助于降低這類攻擊的威脅，保護(hù)網(wǎng)站安全：

1、對(duì)DNS更好地控制和監(jiān)督至關(guān)重要，案例中的銀行沒(méi)有使用雙因素身份驗(yàn)證，使得DNS賬號(hào)很容易被盜。

2、銀行網(wǎng)站應(yīng)使用EV級(jí)別的SSL證書。一方面，EV SSL證書需要嚴(yán)格驗(yàn)證申請(qǐng)單位的身份，攻擊者很難申請(qǐng)到這類證書；另一方面，EV SSL證書顯示醒目的綠色地址欄和單位名稱，一旦頁(yè)面被劫持，醒目的綠色地址欄突然消失，會(huì)引起用戶的警覺(jué)，從而發(fā)現(xiàn)網(wǎng)站出現(xiàn)異常。

3、銀行還應(yīng)該加強(qiáng)HTTPS的配置，HTTP公鑰訂（HPKP）是可選擇的SSL/TLS安全功能，通過(guò)HTTP頭部設(shè)置實(shí)現(xiàn)。它允許網(wǎng)站向客戶端提供一組被授權(quán)用于HTTPS連接的公鑰，如果客戶端連接該網(wǎng)站時(shí)接收的不是被授權(quán)的公鑰，它將拒絕創(chuàng)建連接。

4、證書頒發(fā)機(jī)構(gòu)授權(quán)（CAA）是另一項(xiàng)保護(hù)網(wǎng)站免受惡意證書攻擊的安全措施，它是由設(shè)置DNS記錄實(shí)現(xiàn)，允許網(wǎng)站選擇可接受哪些CA頒發(fā)的證書。CA/B論壇最近投票批準(zhǔn)了將CAA（證書頒發(fā)機(jī)構(gòu)授權(quán)）作為證書頒發(fā)標(biāo)準(zhǔn)的基本要求之一，這項(xiàng)措施將在2017年9月正式生效。

互聯(lián)網(wǎng)逐步遷移到HTTPS加密后，讓網(wǎng)站充分展現(xiàn)真實(shí)身份信息變得越來(lái)越重要，教導(dǎo)用戶識(shí)別真實(shí)網(wǎng)站身份信息，免受匿名惡意證書的攻擊，是互聯(lián)網(wǎng)安全發(fā)展的另一重要步伐。

參考來(lái)源：Threatpost , ?thesslstore

本頁(yè)內(nèi)容由塔燈網(wǎng)絡(luò)科技有限公司通過(guò)網(wǎng)絡(luò)收集編輯所得，所有資料僅供用戶學(xué)習(xí)參考，本站不擁有所有權(quán)，如您認(rèn)為本網(wǎng)頁(yè)中由涉嫌抄襲的內(nèi)容，請(qǐng)及時(shí)與我們聯(lián)系，并提供相關(guān)證據(jù)，工作人員會(huì)在5工作日內(nèi)聯(lián)系您，一經(jīng)查實(shí)，本站立刻刪除侵權(quán)內(nèi)容。本文鏈接:http://www.juherenli.com/20429.html

上一篇：<HTTPS是如何確保安全的？下一篇：Ngnix.SSL>