2016年8月,罗马尼亚软体百科(Softpedia)网站发布消息称,新的恶意软件可以欺骗生物识别验证技术。
据Softpedia报道,已经出现了一种新的恶意软件,旨在破解在金融服务机构中越来越流行的行为生物特征识别技术。这种软件就是Gozi的最新版本:一种在2015年首次出现的恶意软件代码。它已经瞄准了像法国巴黎银行(BNP PARIBAS)、荷兰国际集团(International Netherlands Groups)银行、贝宝(PayPal),以及日本、波兰和西班牙等国的更多金融机构。它使用网络注入攻击,当受害者访问设定的在线银行网站时替换其浏览器网页,以收集用户提交的数据。
值得注意的是,针对高价值目标,恶意软件允许操作员手动接管操作,而这个版本的Gozi会加入一些与某些安全平台中使用的行为生物特征识别相关的数据,如光标移动、按键等,以模仿人类的正常操作模式。
该漏洞的出现说明了在越来越先进的安全技术和不断变化的恶意软件之间存在辩证关系,并为其他在线安全方法如生物识别技术提出了问题。基于浏览器的指纹扫描能否为网上交易提供更好的安全性?未来的恶意软件是否也可以从在线传输的指纹扫描获取数据?
据Softpedia报道,关于目前的Gozi问题,研究人员将在2016年的美国黑帽(Black Hat)安全大会上进行详细讨论。