DoSTOR存储分析 11月25日消息:美国计算机安全应急小组(US-CERT) 发表声明指出:企业和用户都应该警惕越来越具有欺骗性的“钓鱼式攻击(phishing attacks)”,并提醒银行锁定他们的存储系统。
据CERT的一位安全专家Jason Milletary说,所谓“钓鱼式攻击(phishing attacks)”,就是别有用心者使用欺诈性邮件,将自己假扮成银行或其它法律机构,从而从用户那里获取有用的个人信息。在一份声明中,Milletary警告说“那些进行钓式攻击和在线金融诈骗的不法分子攻击的对象种类越来越多,采用的技术也日益复杂。”
CERT还指出“钓鱼者(phishers)”正在使用更恶意的代码来攻击用户的帐户信息。“和真正的渔夫一样,现在那些‘钓鱼者’拥有各式各样的捕钓工具。” Milletary说。
Spectrum系统咨询公司副总裁Vit Kantor说金融部门正面临一场真枪实弹的战争。“现在要发现那些隐藏在幕后的令人厌恶的东西变得越来越困难了。”Kantor补充说,为了让他们的伪造的网站看上去更真实可信,“捕钓者”们越来越擅长于将Web浏览器重新定向到伪造的站点。
但是Vit Kantor认为银行需要慎重考虑一下后端存储系统上的盗窃密码所造成的影响。他说:“这绝对是至关重要的。他们需要在整个基础架构中实施风险管理策略,而不只是停留在用户认证上。”
Kantor表示,银行应该配置数据库访问与监管软件,以便检验是谁试图掌握后端数据。“应该有一个装置来控制对内部资源的访问。”
来自一家大的美国银行的不愿透露姓名的IT经理说他们已经采取措施来解决这个问题。他们将自己的存储系统全都有效地隔离出来。“外界无法进入到我们的存储网络,我们甚至不允许(第三方)厂商笔记本接入我们的网络。”他解释说。
那位IT经理说,至关紧要的是用户也不能直接访问存储网络。这就是说,即使密码泄露了,数据丢失的危险也能降到最低。
他还补充说现在很多银行主要是针对网上银行客户来进行反钓鱼攻击。银行希望对这些客户采取所谓的“双重认证”来验证身份。
这样一来,用户如果要访问他们在线帐户,不仅需要密码,还需要所谓的“硬件凭证”。这些硬件凭证,比如美国RSA Security公司的SecureID Token,已经在很多行业被用于认证用户身份。
举个例子,这位IT经理说他们公司的员工已经开始使用RSA公司的SecureID Token以及传统的密码来访问银行的某些最高级别的安全系统。
安全巨头赛门铁克公司最近收购了反钓鱼式安全工具和安全分析软件公司WholeSecurity以增强反钓鱼安全技术。另外,赛门铁克还发布了今年上半年全球安全威胁报告,据报告显示,反钓鱼式攻击呈上升势头。每天的钓鱼攻击信息由过去的299万个增长到了现在的570万个。由赛门铁克检测的125份邮件中就有一份是钓鱼式信息。
但是Kantor警告说:“我们看到网络钓鱼者倾向于攻击规模较小但具有高价值的团体。比如商业银行的高价值客户。”
未经允许不得转载:DOIT » DoSTOR存储分析 CERT提醒 – 网络钓鱼莫上钩
