舒曼·格斯梅杰姆德(Shuman Ghosemajumder)是互联网安全公司Shape Security战略副总裁,今年3月从
谷歌跳槽至新公司。他从未公开谈论过新公司的业务,而这一次,他终于向外界揭开了Shape Security是如何阻止黑客入侵用户银行账户的。
Shape Security投资者主要为硅谷的企业和知名人士。Shape Security在第一轮融资中获得了600万美元的投资,投资方包括谷歌董事长埃里克·施密特(Eric Schmidt)的个人投资机构Tomorrow Ventures、谷歌风投(Google Ventures)、Kleiner Perkings和Basleline Ventures。此外,Facebook、Twitter和LinkedIn的天使投资人也对Shape Security进行了投资。
要了解硅谷人士为何如此热衷于Shape Security,首先要了解一个名为“Zeus”的病毒,即一个专门攻击用户银行账户的恶意软件。今年夏季,Zeus侵入了欧洲约3万个银行账户,窃取了4700万美元。
时至今日,也没有真正方法能够检测和阻止Zeus。当用户通过手机或PC登陆网上银行时,Zeus就会将用户银行账户内的资金盗走。
Zeus具体情况如下:
· 能将自己伪装成网上银行或在线商店的真实页面;
· 更换密码无法阻止Zeus,因为它会立刻收集到用户的新密码;
· “双因素验证”,即银行发送短信来验证交易,同样无法组织Zeus,因为它能发送虚假短信,看起来自银行;
· 黑客可以在黑市网站上以700美元至15000美元的价格购买到各种Zeus工具包
· Android和iPhone用户受影响。
虽然目前我们只知道欧洲银行的损失数字(4700万美元),但Zeus跟踪网站Zeus Tracker指出,美国银行和电子商务网站也受到了Zeus的影响。
Zeus对银行和电子商务公司的影响如此之大,甚至惊动了微软。去年春季,微软摧毁了一个Zeus僵尸网络。但微软表示,仍有数百个这样的僵尸网络存在。
即便是具有安全意识的用户也无法分辨Zeus的钓鱼网站,因为只有当用户输入输入银行密码后才开始工作。此时,Zeus会发送给用户一个伪装的钓鱼页面,看起来像真的一样。
而Shape Security的目标就是要解决该问题,让Zeus难以伪装成用户真正要访问的页面。
格斯梅杰姆德说:“我们并不检测攻击,我们的软件位于用户和网页之间。”这样,黑客难以自动对用户发起攻击。
Shape Security的解决方案让黑客使用Zeus的成本大幅提高。黑客的工具包将无法自动窃取用户手机和PC上的信息,他们必须每次都亲自分析每个用户登陆的每个网页。
由于Shape Security目前仍处于保密阶段,格斯梅杰姆德并未提供其他更多细节信息。但这已经足以让我们了解,业界人士为何对Shape Security情有独钟。