研究:網路銀行 SMS 認證機制不安全
安全研究機構 NSS Labs 在最新十二月份的安全報告中指出,隨著駭客發展更先進的惡意軟體,網路銀行透過 SMS 簡訊傳送認證碼的認證機制也變得不可靠了,因為有許多手機病毒會與電腦病毒聯合互通,以破解這種一次性的密碼,所以網路銀行不能再依賴這種基於 SMS 的認證。
為了提高網路銀行的安全性,提供雙因素 (two-factor) 認證機制是目前很普遍的做法,而比較常見的是,除了輸入帳號、密碼外,另外還會透過 SMS 簡訊傳送一組認證碼到手機,以做第二層的認證。該認證碼通常會在數分鐘內失效,以避免遭網路罪犯利用。
但是,這樣的做法也遭到破解。NSS Labs 表示,網路罪犯都會採用一石二鳥的做法,舉例來說,一旦個人電腦遭到感染,就會彈跳出新的視窗要求用戶輸入其手機號碼、手機作業系統和手機型號等訊息,然後就會傳送一個惡意連結到此用戶的手機,若該使用者不慎點擊就會下載一個惡意程式,然後會將用戶收到的一次性密碼寄到另一個手機號碼,好讓網路罪犯得以入侵此用戶的銀行帳號。
目前較常被用來攻擊網路銀行的電腦病毒包括 SpyEye、Citadel、Zeus和 Carberp 等,都已經內含入侵行動 Android 平台的元件。除了這些惡意病毒之外,報告也指出,金融機構的安全機制並未與時俱進也是一大問題。許多網路銀行的應用程式有許多安全漏洞,相當於為駭客開了方便大門,比如許多銀行目前使用的手機應用程式僅為 HTML 包裹程式 (Wrappers),而不是安全的原生 Apps。
報告也建議,要提升網路銀行應用程式的安全性,應該具有更全面的做法,包括採用強化的瀏覽器 (hardened browsers)、以憑證為基礎 (certificate-based) 的身分辨識、唯一的安裝金鑰、in-app 加密、地理定位位置 (geolocation),以及裝置本身的指紋辨識等。
駭客鎖定 Google 和 Apple 平台的網路銀行apps
除了 NSS Labs 指出的認證機制已經不再可靠外,App Store 上充斥著惡意的 App,也讓網路銀行安全問題加劇。而值得留意的是,駭客主要鎖定的為金融性相關的 apps,即透過惡意的 apps,進而取得用戶在銀行的帳號、密碼,以及其他有用資訊,以竊取帳戶中的金額。
雖然並非所有人下載的 apps 都是惡意的,因為這些惡意的 apps 通常都是透過第三方下載網站下載,而非 Apple 和 Google 授權的商店,不過,網路銀行 apps 的安全性儼然已成為銀行業者的重要挑戰,並需要用戶更多的關注。
正 新 電 腦 : www.pronew.com.tw 04-2473-8309
#SMS 認證 #惡意軟體 #駭客入侵 #一次性密碼 #雙因素認證 #入侵Android#惡意病毒 #安全漏洞 #身份辨識 #網路銀行 #apps #安全金鑰 #iKey #Authentication#OTP 動態密碼 #SafeNet
文章定位:
