在當今的數字時代，銀行和金融服務公司為了提高競爭力，往往為客戶提供了在線管理資金的便捷功能。

但不幸的是，大多數銀行平臺都缺失安全設計，這導致黑客一直在利用這些潛在的隱患。

雖然在過去幾年針對銀行的攻擊手段變得更加復雜，但絕大多數攻擊依舊依賴于用戶欺騙。

例如，針對銀行的一種常見網絡釣魚攻擊，就是將目標定向到惡意克隆的銀行網站。

一旦用戶嘗試登錄這個看起來很真實的虛假網站，該平臺會提示：服務不可用，從而混淆用戶，并存儲下用戶剛剛輸入的憑證信息(賬號密碼)。

這一切都是為了引導用戶犯錯，而網絡釣魚還只是電子銀行時代應該防范的攻擊之一。

以下介紹了黑客通過用戶攻擊銀行的五種方式：1. SMS swaps攻擊短信詐騙在銀行業已經非常普遍。

首先，攻擊者竊取受害者的手機號碼以及手機ID，然后打電話給SIM卡中心聲稱自己手機丟失，并且已經購買了新的SIM卡，現在希望把舊號碼取回。

攻擊者使用那些可能從社交媒體帳戶上收集來的的安全ID和其他私人信息，說服電信支持人員，換回手機號。

這種騙局甚至可以逃避安全保護。

大多數提供多因素身份驗證(MFA)以保護在線銀行會話和應用程序的銀行機構都依賴基于SMS的MFA，而不是使用移動令牌。

一旦黑客竊取了用戶的電話號碼，他們就可以訪問短信，而這也意味著他們可以訪問受害者的帳戶，即使它具有基于SMS的MFA。

2. MITM攻擊/中間人攻擊Man In-The-Middle(MITM)攻擊由來已久，但非常有效，攻擊者瞄準的是基礎設施沒有被充分保護的銀行平臺。

他們不僅竊取資金，還攻擊銀行的基礎設施從而給銀行帶來負面影響。

攻擊者通過干擾用戶和銀行后端之間的網絡通信，篡改交易金額和賬戶信息。

這個攻擊一般可以通過銀行加密通信，使用特定證書憑證來預防。

但是，在使用TLS連接中，發現了漏洞。

常見的DNS欺騙技術可以很容易地定向受害者在同一Wi-Fi網絡下的流量，從而無法驗證主機名。

因此，銀行防御MITM攻擊的最佳方式是通過實施令牌多因素簽名。

3. MITB攻擊MITB(Man-in-the-Browser attack)是一種感染在線瀏覽器的特洛伊木馬。

它扮演中間人攻擊的角色，嗅探和修改用戶在受感染瀏覽器上執行的事務，但表面上仍然顯示用戶是在合法輸入。

大多數用戶認為他們在HTTPS的網站上執行事務時有SSL的保護，但事實上，SSL只保護瀏覽器和服務器之間傳輸的數據。

更好的證書管理可以預防感染，但是當用戶使用個人計算機進行銀行業務時，這很難保證。

幸運的是，還可以通過多因素身份驗證令牌來保護銀行事務。

4. 魚叉式網絡釣魚攻擊魚叉式網絡釣魚：攻擊者利用電子郵件欺騙技術，通過一個定制的、高度真實的網絡釣魚電子郵件來攻擊特定的組織或個人。

簡而言之，這是一種更具針對性、復雜性且研究密集的網絡釣魚版本。

這種攻擊通常用于攻擊者所熟悉的組織，攻擊者利用內部了解針對特定的負責付款的員工發起攻擊。

比如，他們可能會向會計發送一封電子郵件，表明是CFO要求他們支付一筆看似正常的款項。

如果員工相信了，于是進入虛假網站或下載鏈接，就會導致MITM或MITB攻擊的觸發。

5. 移動惡意軟件攻擊移動銀行木馬是最靈活也最危險的惡意軟件類型之一，旨在通過竊取用戶憑據從而竊取用戶帳戶中的資金。

它們看起來和Apple或Google商店中的真正App一樣，但當用戶下載并運行App時，它就會開始監控手機里的銀行App。

由于不是每個銀行App的設計都能合理地保護個人的資產，因此，實施不當和開源庫暴露都會讓帳戶和密碼很容易地被跟蹤。

銀行如何防御攻擊?對于銀行來說，保護其支付系統的最佳方法之一就是為每筆資金交易添加MFA安全層。

即使客戶被欺騙登錄到一個偽造的網站或點擊了一個網絡釣魚鏈接，攻擊者也無法轉賬或付款。

以上這些攻擊操作都依賴于最終的用戶令牌，而銀行如果MFA控件到位，攻擊者將無法拿到這些令牌!銀行可以通過使用固定和隨機事務屬性(如名稱、值、帳戶、時間戳等)生成基于密碼的簽名，此外，如果正確實施，MFA也不會對銀行應用或服務的用戶體驗產生負面影響。

最后，銀行有責任讓客戶不斷地重新評估他們的安全措施，以抵御上述在線威脅，但客戶也在電子銀行安全中發揮著作用，需要了解最常見的銀行攻擊，了解他們的資金何時可能存在風險，并在必要時做好安全防范。