在當(dāng)今的數(shù)字時代，銀行和金融服務(wù)公司為了提高競爭力，往往為客戶提供了在線管理資金的便捷功能。

但不幸的是，大多數(shù)銀行平臺都缺失安全設(shè)計，這導(dǎo)致黑客一直在利用這些潛在的隱患。

雖然在過去幾年針對銀行的攻擊手段變得更加復(fù)雜，但絕大多數(shù)攻擊依舊依賴于用戶欺騙。

例如，針對銀行的一種常見網(wǎng)絡(luò)釣魚攻擊，就是將目標(biāo)定向到惡意克隆的銀行網(wǎng)站。

一旦用戶嘗試登錄這個看起來很真實的虛假網(wǎng)站，該平臺會提示：服務(wù)不可用，從而混淆用戶，并存儲下用戶剛剛輸入的憑證信息(賬號密碼)。

這一切都是為了引導(dǎo)用戶犯錯，而網(wǎng)絡(luò)釣魚還只是電子銀行時代應(yīng)該防范的攻擊之一。

以下介紹了黑客通過用戶攻擊銀行的五種方式：1. SMS swaps攻擊短信詐騙在銀行業(yè)已經(jīng)非常普遍。

首先，攻擊者竊取受害者的手機號碼以及手機ID，然后打電話給SIM卡中心聲稱自己手機丟失，并且已經(jīng)購買了新的SIM卡，現(xiàn)在希望把舊號碼取回。

攻擊者使用那些可能從社交媒體帳戶上收集來的的安全I(xiàn)D和其他私人信息，說服電信支持人員，換回手機號。

這種騙局甚至可以逃避安全保護(hù)。

大多數(shù)提供多因素身份驗證(MFA)以保護(hù)在線銀行會話和應(yīng)用程序的銀行機構(gòu)都依賴基于SMS的MFA，而不是使用移動令牌。

一旦黑客竊取了用戶的電話號碼，他們就可以訪問短信，而這也意味著他們可以訪問受害者的帳戶，即使它具有基于SMS的MFA。

2. MITM攻擊/中間人攻擊Man In-The-Middle(MITM)攻擊由來已久，但非常有效，攻擊者瞄準(zhǔn)的是基礎(chǔ)設(shè)施沒有被充分保護(hù)的銀行平臺。

他們不僅竊取資金，還攻擊銀行的基礎(chǔ)設(shè)施從而給銀行帶來負(fù)面影響。

攻擊者通過干擾用戶和銀行后端之間的網(wǎng)絡(luò)通信，篡改交易金額和賬戶信息。

這個攻擊一般可以通過銀行加密通信，使用特定證書憑證來預(yù)防。

但是，在使用TLS連接中，發(fā)現(xiàn)了漏洞。

常見的DNS欺騙技術(shù)可以很容易地定向受害者在同一Wi-Fi網(wǎng)絡(luò)下的流量，從而無法驗證主機名。

因此，銀行防御MITM攻擊的最佳方式是通過實施令牌多因素簽名。

3. MITB攻擊MITB(Man-in-the-Browser attack)是一種感染在線瀏覽器的特洛伊木馬。

它扮演中間人攻擊的角色，嗅探和修改用戶在受感染瀏覽器上執(zhí)行的事務(wù)，但表面上仍然顯示用戶是在合法輸入。

大多數(shù)用戶認(rèn)為他們在HTTPS的網(wǎng)站上執(zhí)行事務(wù)時有SSL的保護(hù)，但事實上，SSL只保護(hù)瀏覽器和服務(wù)器之間傳輸?shù)臄?shù)據(jù)。

更好的證書管理可以預(yù)防感染，但是當(dāng)用戶使用個人計算機進(jìn)行銀行業(yè)務(wù)時，這很難保證。

幸運的是，還可以通過多因素身份驗證令牌來保護(hù)銀行事務(wù)。

4. 魚叉式網(wǎng)絡(luò)釣魚攻擊魚叉式網(wǎng)絡(luò)釣魚：攻擊者利用電子郵件欺騙技術(shù)，通過一個定制的、高度真實的網(wǎng)絡(luò)釣魚電子郵件來攻擊特定的組織或個人。

簡而言之，這是一種更具針對性、復(fù)雜性且研究密集的網(wǎng)絡(luò)釣魚版本。

這種攻擊通常用于攻擊者所熟悉的組織，攻擊者利用內(nèi)部了解針對特定的負(fù)責(zé)付款的員工發(fā)起攻擊。

比如，他們可能會向會計發(fā)送一封電子郵件，表明是CFO要求他們支付一筆看似正常的款項。

如果員工相信了，于是進(jìn)入虛假網(wǎng)站或下載鏈接，就會導(dǎo)致MITM或MITB攻擊的觸發(fā)。

5. 移動惡意軟件攻擊移動銀行木馬是最靈活也最危險的惡意軟件類型之一，旨在通過竊取用戶憑據(jù)從而竊取用戶帳戶中的資金。

它們看起來和Apple或Google商店中的真正App一樣，但當(dāng)用戶下載并運行App時，它就會開始監(jiān)控手機里的銀行App。

由于不是每個銀行App的設(shè)計都能合理地保護(hù)個人的資產(chǎn)，因此，實施不當(dāng)和開源庫暴露都會讓帳戶和密碼很容易地被跟蹤。

銀行如何防御攻擊?對于銀行來說，保護(hù)其支付系統(tǒng)的最佳方法之一就是為每筆資金交易添加MFA安全層。

即使客戶被欺騙登錄到一個偽造的網(wǎng)站或點擊了一個網(wǎng)絡(luò)釣魚鏈接，攻擊者也無法轉(zhuǎn)賬或付款。

以上這些攻擊操作都依賴于最終的用戶令牌，而銀行如果MFA控件到位，攻擊者將無法拿到這些令牌!銀行可以通過使用固定和隨機事務(wù)屬性(如名稱、值、帳戶、時間戳等)生成基于密碼的簽名，此外，如果正確實施，MFA也不會對銀行應(yīng)用或服務(wù)的用戶體驗產(chǎn)生負(fù)面影響。

最后，銀行有責(zé)任讓客戶不斷地重新評估他們的安全措施，以抵御上述在線威脅，但客戶也在電子銀行安全中發(fā)揮著作用，需要了解最常見的銀行攻擊，了解他們的資金何時可能存在風(fēng)險，并在必要時做好安全防范。