问我的银行的双因素认证会被黑吗？

EN

你说得对，攻击者拦截代码的方法之一就是黑进你的手机。攻击者还可以：

• 克隆你手机的sim，并请求将银行代码发送到您的电话号码。他们也有可能克隆一部非sim手机。
• 偷你的手机。一旦他们有了你的手机，他们就可以进行交易。
• 当你使用你的银行网站时，在中间攻击中扮演一个人。这已经完成了，攻击者使用安装在您的计算机上的恶意软件(浏览器攻击中的人)将您的银行流量定向到一个设置为模拟银行页面的站点。或者攻击者可能会破坏系统，使其充当代理。无论哪种方式，当您输入代码时，攻击者都会得到它，然后使用代码执行事务。
• 社会工程师你的银行把你的手机细节改为他们控制的手机。如果攻击者对你有足够的了解，而你的银行的程序不够严格，那么攻击者就可以给你的银行打电话，假装你是你，让他们更改移动电话号码。

那你能做什么？

• 控制你的手机。
• 确保您的计算机与补丁和反恶意软件保持同步。
• 在虚拟机上做所有的银行业务，永远不要保存它的状态。如果您的虚拟机遭到黑客攻击，并且您保存了状态，那么恶意软件将保留在虚拟机中，但是如果您从未保存它的状态，恶意软件将无法留在虚拟机上。
• 许多银行使用某种身份验证代码来验证来电者的身份。把这些写下来，但不要把它们放在你的电脑或电话上，这样攻击者仍然不知道一些事情，即使他们可以完全访问你的电脑和你的在线身份。

这不是所有的厄运和悲观，大多数情况下，银行可以扭转交易，如果很快抓住，如果你怀疑有欺诈交易发生，尽快进入你的银行，并让他们的调查人员。这将取决于当地的法律和你的银行有多好。

关于身份验证的第二个因素/步骤的整个想法是提供两个独立的安全层。一个层中的漏洞不应影响另一层的安全性。

第二个因素认证在过去设计和使用得当，但最近被那些更关心利润而不是安全的公司削弱了。SMS消息不能重新创建精心设计的RSA令牌和智能卡的安全级别。

对短信的攻击不再是理论上的，而是数百万美元的犯罪。妥协电话是最严厉的前进方式，并至少在这个4700万美元抢劫案中使用。

当社会工程进入这一阶段时，克隆SIM卡可能会容易得多。克隆仍然是困难的，不能像短信截取那样扩展。而且你不需要建立你自己的破解系统，你可以用大的或小的包购买它。

当您认为第二个因素是安全的，并且您可以依赖它时，请考虑浏览器内的攻击类型。

一种古老的方法叫做SIM卡分区，它是一种侧通道攻击方法，它通过监视侧通道(如功耗和电磁辐射)从SIM卡中提取关键数据。这种技术需要一些物理上的接近，并且可以在几分钟内提取秘密密钥。在此之前，攻击者需要访问SIM卡至少8个小时才能进行成功的攻击。

过去，攻击者利用电话公司内部人士提供的信息复制SIMs，然后实施银行欺诈。目前，在南非出现了一股SIM互换欺诈浪潮，攻击者欺骗这家电话公司给他们一张新的SIM卡。

通过首先对自己进行有关威胁和良好安全实践的教育来防范这些威胁。要做的事情清单可以防止常见的陷阱，但是有一个安全的心态会让你更进一步。

这是当使用两个因素进入计算机(并直接在自动取款机，请参阅链接在非常底部的ATM 2因素短信问题)。

KrebsOnSecurity.com博客列出了许多银行业抢劫犯，其中包括：

https://krebsonsecurity.com/category/smallbizvictims/page/4/

“在网络盗窃案发生前一年，Comerica从使用数字证书转向要求商业客户从安全令牌输入一次性密码。电子邮件中链接的网站要求提供该密码，Maslowski也是这样做的。几个小时内，攻击者就从百代的账户向中国、爱沙尼亚、芬兰、俄罗斯和苏格兰的银行账户进行了97次电汇。”

克雷布斯一直在关注这一问题，并为银行抢劫犯设立了一个特殊类别：

https://krebsonsecurity.com/category/smallbizvictims/

太残忍了！

我从他的博客中收集到的最重要的一点是：

• 银行不偿还对商业帐户的网络欺诈！(与消费者账户不同)。
• 如果会计部门的个人电脑被黑客接管，两个因素或任何数量的计算机验证都是有风险的。(克雷布斯的一篇报道描述了一家公司的另一名抢劫犯，该公司要求一名员工和一名经理在浏览器中单独确认通过X进行的传输；但黑客“拥有”了这两台电脑，并窃取了这两套证书。)
• 一些“乐队外”的核实是最好的，例如，打电话给一两名雇员/经理进行调动，几乎会挫败所有或所有的江湖人。
• 对于商业网上银行来说，Windows个人电脑是一个巨大的风险。
• 对于Windows上的商业在线银行，可以从免费的LiveCD Ubuntu上临时启动，它可以加载火狐并允许干净的在线银行，因为病毒不能写入DVD，而Windows上的任何病毒都将处于休眠状态，直到PC重新启动Windows。

(我的几个业务客户在需要使用商业网上银行时，会从Windows上启动LiveCD。)

要想获得完整的恐怖，请阅读几年来克莱伯的小商业银行盗窃故事。他们让我的IT小企业客户不寒而栗。

=========

关于盗贼在自动取款机上殴打2因素的问题，这是在欧洲进行的。病毒感染了个人电脑和电话，受害者的账户取款被银行认为是欺诈性的，直到他们开始：

http://dkmatai.tumblr.com/post/37277877990/sophisticated-smartphone-hacking-36-million-euros