作者：Dancho Danchev  日期：2010-1-27



最近发布的详细描述了出现在各个网络钓鱼版块的历史新高，同时专家还对桌面犯罪软件进行了一些有趣的观察。

报告显示，此次调查的受感染计算机总数（第10页）相较于前几个季度有所下降，但在22，754，847台被扫描的计算机中仍有48.35％遭受恶意软件感染。

尽管犯罪软件/银行木马感染率从第二季度开始略有下降，但仍有超过150万电脑被感染。而且此次调查数据来源于单一的安全厂商，仍有150万计算机感染犯罪软件，成为人们关注的焦点。

相关内容：现代化的银行恶意软件削弱了二因子认证机制的有效性；公民财政起诉安全性不足的银行服务；英xx强制安装防病毒软件，违者罚10万英镑；规范僵尸电脑招募流程 - 了解僵尸电脑招募的运作流程以预防其出现。

二因子认证机制由于其大规模的普及使用以及在对抗当今犯罪软件中的实际适用性，仍被认为是非常有效的身份验证解决方案。否则，为什么金融机构还能继续坚持使用？好在事情正朝正确的方向发展。

上个月，一份Gartner报告（现已免费提供）对此问题进行了探讨，并合理地提出，二因子认证机制以及网外通信协议，如电话验证并不能保护客户的合法权益。

这是如何发生的呢？犯罪分子又如何能够绕过电话验证程序？

恶意软件隐藏于用户浏览器中，等待用户登录网上银行，随后复制用户的ID、密码和OTP并发送给攻击者。与此同时，阻止服务器发送真正的登录请求，并以“暂时无法使用”页面蒙蔽用户。诈骗者迅速使用得到的信息登录网上银行，xx受害者账户上的资金。

其他恶意软件可覆盖用户（URLZone木马网络）发送给网上银行的交易内容。这种覆盖进行得十分隐蔽以防止用户看到被修改后的交易金额。同样的，许多网上银行通过OTP输入值将详细的交易信息发送给用户确认，但恶意软件也会把实际交易金额更改为用户最初输入的金额。这样，无论用户还是银行都无法意识到发送到银行的数据已被更改。

对于电话验证的网外验证方式，诈骗者只需以电话出现故障或需要维修的理由要求电话运营商将受害者的呼叫进行转移，而电话运营商在没有充分验证请求者身份的情况下就执行了转接。

上个月，美国银行家协会（ABA）对小型企业发出一份类似的警告，建议使用精密保护的专用电脑从事网上银行活动。这个电脑不应用于访问网站、阅读邮件等其他上网行为，以此来减小感染犯罪软件的可能性。

无论考虑使用哪种防御方式（时间网上银行和购物沟视窗;活光盘），很明显犯罪分子已经十分适应目前已经实施的多因素身份验证流程了。

来源：http://blogs.zdnet.com/security/?p=5365&tag=content;col1【Web安全网关{lx1}者安启华转译】