你是对的，攻击者可以拦截代码的一种方式是破解你的手机。攻击者还可以：

• 克隆您手机的 SIM 卡，并请求将银行代码发送到您的手机号码。他们也可能克隆非 sim 手机
• 偷你的手机。一旦他们有了你的手机，他们就可以进行交易
• 在您使用银行网站时执行中间人攻击。这已经完成了，攻击者使用安装在您计算机上的恶意软件（浏览器攻击中的人）将您的银行流量引导到设置为模仿您银行页面的站点。或者，攻击者可能会破坏系统以充当代理。无论哪种方式当您输入代码时，攻击者会得到它，然后使用该代码执行交易
• 对您的银行进行社会工程，将您的手机详细信息更改为他们控制的手机。如果攻击者对你足够了解，并且你的银行的程序不够严格，那么攻击者可能会伪装成你打电话给你的银行并让他们更改手机号码

所以，你可以做什么？

• 保持对手机的控制。
• 确保您的计算机使用补丁和反恶意软件保持最新状态
• 在虚拟机上进行所有银行业务，永远不要保存其状态。如果您的虚拟机被黑客入侵并且您保存了状态，则恶意软件将保留在虚拟机中，但是如果您从未保存其状态，则恶意软件将无法保留在虚拟机中
• 许多银行使用某种身份验证代码来验证来电者的身份。把这些写下来，但不要把它们放在你的电脑或手机上，这样攻击者仍然不知道一些东西，即使他们可以完全访问你的电脑和你的在线身份。

这并不全是厄运和悲观，大多数情况下，如果银行迅速被发现，银行可以撤销交易，如果您怀疑发生了欺诈交易，请尽快进入您的银行并让他们的调查人员进行调查。这可能有多好取决于当地的法律是什么以及你的银行有多好。

关于身份验证的第二个因素/步骤的整个想法是提供两个独立的安全层。一层中的漏洞不应影响另一层的安全性。

第二因素身份验证在过去被正确设计和使用，但最近它被那些更关心利润而不是安全的公司削弱了。SMS 消息无法重现精心设计的 RSA 令牌和智能卡的安全级别。

作为第二个因素的 SMS 攻击不再是理论上的，而是数百万美元的犯罪。破坏手机是最严格的方法，至少在这次4700 万美元的抢劫案中使用过。

当社会工程进入图片时，克隆 SIM 卡会容易得多。克隆仍然很难，无法像短信拦截那样扩展。而且你不需要建立自己的破解系统，可以大包小包购买。

就在您认为第二个因素是安全的并且可以依赖它时，请考虑浏览器中的人攻击类型。

一种旧方法称为SIM 卡分区，是一种侧信道攻击方法，通过监控侧信道（如功耗和电磁辐射）从 SIM 卡中提取关键数据。该技术需要一定的物理接近度，并且可以在几分钟内提取秘密密钥。以前，攻击者需要访问 SIM 卡至少八小时才能成功攻击。

过去，攻击者利用电话公司内部人员的信息来克隆 SIM 卡，然后进行银行欺诈。目前，南非出现了一波SIM 卡交换欺诈浪潮，攻击者诱骗电话公司给他们一张新的 SIM 卡。

通过首先对自己进行有关威胁和良好安全实践的教育来防范这些。要做的事情清单可以防止常见的陷阱，但拥有安全心态会让你走得更远。

使用输入计算机的两个因素时已经完成（并且直接在 ATM 上；有关 ATM 2 因素 SMS 问题，请参见底部的链接）。

KrebsOnSecurity.com 博客列出了许多银行业的骗局，其中包括：

https://krebsonsecurity.com/category/smallbizvictims/page/4/

“在网络盗窃的前一年，Comerica 已从使用数字证书转变为要求商业客户从安全令牌中输入一次性密码。电子邮件中链接的网站要求输入该密码，马斯洛夫斯基遵守了。在在几个小时内，攻击者从 EMI 的账户向中国、爱沙尼亚、芬兰、俄罗斯和苏格兰的银行账户进行了 97 次电汇。”

Krebs 紧跟这一点，并为银行业的 eheists 设立了一个特殊类别：

https://krebsonsecurity.com/category/smallbizvictims/

野蛮！！

我从他的博客中收集到的最重要的几点：

• 银行不赔偿针对企业账户的网络欺诈！（与消费者账户不同）。

• 如果会计部门的 PC 已被黑客接管，则两个因素或任何数量的仅计算机验证都是有风险的。（Krebs 的一个故事描述了另一家公司的 eheist，该公司要求员工和经理在他们的浏览器中分别确认通过 X 进行的传输；但黑客“拥有”了两台 PC 并窃取了两组凭据。）

• 一些“带外”验证是最好的，例如，打电话给一两个员工/经理进行调动会挫败几乎所有或所有 Kreb 报告的 eheist。

• Windows PC 对商业网上银行来说是一个巨大的风险。

• 对于 Windows PC 上的商业网上银行，暂时从免费的 LiveCD Ubuntu Linus DVD 启动，该 DVD 加载 Firefox并允许干净的网上银行，因为病毒无法写入 DVD 并且 Windows PC 上的任何病毒都将处于休眠状态，直到 PC 重新启动进入 Windows。

（当他们需要使用商业网上银行时，我的几个商业客户从他们的 Windows PC 上的 LiveCD 启动。）

对于完整的恐怖，请阅读几年的克雷布斯小企业银行抢劫故事。他们让我的 IT 小型企业客户不寒而栗。

=========

关于小偷在 ATM 机上击败 2-因素，它已经在欧洲完成。病毒感染了 PC 和手机，受害者遭受了账户提款，银行在安装之前并不认为这是欺诈行为：

http://dkmatai.tumblr.com/post/37277877990/sophisticated-smartphone-hacking-36-million-euros

好吧，现实世界中最好的银行安全事件之一是Operation Emmental，它是在银行 2FA 系统中发现严重安全漏洞的一个很好的例子。

该攻击旨在绕过银行使用的某种双因素身份验证方案。特别是，它绕过了会话令牌，会话令牌经常通过短消息服务 (SMS) 发送到用户的移动设备。用户需要输入会话令牌来激活银行会话，以便他们可以验证他们的身份。由于此令牌是通过单独的通道发送的，因此此方法通常被认为是安全的。

我建议阅读本白皮书中对这次网络攻击的分析。也有许多已发表的分析解释了这一事件。

我真正喜欢这次攻击的是它的优雅和优雅:)