网络钓鱼者找到攻破银行认证系统的方法

　　网络欺诈者日前找到了一种绕过新型令牌认证系统的方法，而有部分银行已采用了这种系统。

　　最近几周内，大约出现了35个使用这种新攻击方式的钓鱼网站。互联网研究公司Netcraft公司的分析师Rich Miller说，这些网站试图诱使用户泄漏由银行，如花旗集团，安全令牌设备生成的临时密码。

　　钓鱼者只是最近才开始寻找绕过令牌认证的方法，所用的就是所谓的“中间人”攻击方式。这些攻击十分恼人，因为就在人们认为系统为银行客户增强了安全性后不久，它们就开始利用系统行骗了。

　　令牌设备被用于为在线银行客户临时创建另一个密码。这些密码只在很短时间内有效且只能使用一次，使得攻击者无法盗取密码供以后使用。美国联邦政府指导方针要求在线交易在年底前变得更可靠并提供双因素(two-factor)认证，美国银行为了遵从该指导方针都已向用户提供了令牌。

　　安全专家已做出预测，钓鱼者最终会采用“中间人攻击方式”来巧妙躲避基于令牌的认证方式，而最近几次攻击标志着他们已开始实施这种方式了。(网界网胡谦编译）