網路銀行經常以手機簡訊傳送驗證碼的方式,對使用者進行身份認證,然而,這種認證機制的安全性,在Zitmo手機木馬程式出現後受到挑戰。
今年8月,英國才爆出某銀行因為Zeus木馬程式而損失約100萬美元,事隔不到2個月,資安廠商Fortinet就宣佈發現Zeus的手機版本,也就是Zitmo,意思為Zeus in the Mobile,這種作法可以破解銀行的雙因素認證機制,讓駭客可以在使用者不知道的情況下進行交易。
駭客如何將Zitmo傳送至使用者手機?首先,在網站上出現一個彈跳視窗,要求使用者填入自身的手機號碼和手機廠牌(如:Nokia、iPhone等),然後再發送簡訊給使用者,簡訊內含有一個針對手機平台而撰寫的惡意程式,例如:BlackBerry手機就傳送BlackBerry版本的木馬程式,依此類推,而目前已經發現的版本為Symbian。
手機在安裝Zitmo惡意程式後,會自動建立一個名為NumbersDB.db的資料庫,負責監控所有傳送至這隻手機的簡訊,甚至可以在使用者不知情的狀態下,將簡訊內容轉送給駭客,換句話說,如果這封簡訊是銀行發送給使用者的認證簡訊,那麼駭客就可以取得簡訊認證密碼,並據此從事非法行為。
關於Zitmo資訊,資安業者正在研究中,然而不論調查結果為何,企業都應該及早思考防範對策,畢竟結合手機的雙因素認證模式,是目前網路服務主要的驗證模式,不僅歐洲銀行採用,台灣也有不少金融或網路服務供應商使用相同機制,如果等到Zitmo大肆流竄時再來思考防禦之道,只怕為時已晚。