觀點

簡訊 OTP 值得信賴嗎?手機簡訊認證帳號服務與可能的犯罪

2022 / 03 / 31
編輯部
簡訊 OTP 值得信賴嗎?手機簡訊認證帳號服務與可能的犯罪
手機簡訊 (SMS) 認證已成為今日許多線上服務預設使用的認證方式。這些平台這麼做的假設前提是:手機簡訊認證應足以落實「每人每支手機對應一個帳號」的政策。事實上,全球各地許多 IT 部門都將手機簡訊認證當成一種「安全的」使用者帳號驗證工具。

近年來,越來越多網路賣家開始提供手機簡訊認證帳號 (SMS PVA) 服務。SMS PVA 服務可用來迴避手機簡訊認證機制,提供一些行動電話號碼讓客戶在各大線上服務及平台上註冊帳號。然而,這類服務卻可能被網路犯罪集團用來註冊大量的拋棄式帳號,或者建立一些通過手機認證的帳號,可用來從事詐騙或其他犯罪活動。

有別於舊的 PVA 濫用手法,新的 SMS PVA 服務只提供帳號註冊時所需的實際認證碼。趨勢科技在研究 SMS PVA 服務的過程中發現,至少有一家業者是使用一個由數千台已遭感染的 Android 手機所組成的殭屍網路來架設其 SMS PVA 服務。這樣的情況有兩種可能性:
(1) 使用者因為不小心下載到惡意程式而使得手機遭到感染
(2) 手機出廠時就預載了惡意程式。 

這些遭到感染的 Android 手機會被用來接收簡訊並從簡訊當中擷取出簡訊認證碼之後回報給駭客,此時手機持有人完全不知情,更別說同意。SMS PVA 服務業者利用這些已感染的手機來提供帳號認證碼,就能以便宜的價格提供各國的手機號碼。網路犯罪集團可以利用這類服務來大量註冊新的帳號,用來從事各種惡意活動。

犯罪集團如何利用 SMS PVA 服務? 

簡訊認證是許多企業機構所信賴的一種認證方式,從小型商務平台到提供關鍵服務的跨國企業皆然。這也難怪網路犯罪和詐騙集團隨時都在處心積慮思考如何利用人們對它的信賴。而提供 SMS PVA 服務的業者,正好為這些集團提供了他們惡意活動所需的資源。 

根據駭客集團以往利用假帳號來犯罪的經驗,我們可推測出一些他們可能利用 SMS PVA 服務來進行的犯罪活動。我們的研究就是希望能藉由點出這些可能的應用,好讓目前正在使用手機簡訊帳號認證的企業機構與監理機構能有所警惕,進而加強防禦。

保持匿名性
  • 網路犯罪集團可利用這些服務讓自己的身分更難被追查。
  • 他們會利用拋棄式電話號碼來註冊帳號,這樣就不需擔心這些帳號和電話號碼會追查到他們。 
  • 將 SMS PVA 電話號碼與線上金融服務綁定,就能使用「先享受後付款」之類的小額貸款,透過這方式來購買非法物品或洗錢。
聯合假冒行為
  • 這類行為涉及在社群網路上大量散發和轉傳訊息 (通常是假訊息),這方法不僅快速,又能精準打擊。
  • 這類行為可能操弄輿論來宣傳某些品牌、服務、政治觀點或政府計畫。
  • 這類行為甚至可能煽動街頭抗議,製造大量網軍。
濫用登入優惠
  • 網路犯罪集團可能利用促銷活動來賺取金錢,或者取得某些產品。例如,中國 Starbucks 就曾提供免費飲料券給新註冊的 App 用戶。
  • 2018 年,某犯罪集團看準這點,購買了大量手機簡訊認證碼來註冊超過 40 萬個帳號,進而蒐集這些免費飲料券,然後拿到網路上販賣。
  • 在東歐、非洲和西亞地區相當熱門的 Bolt 叫車服務,曾經為了鼓勵用戶推薦新用戶而提供免費乘車點數給每一個新申請的帳號。為此,某些 SMS PVA 賣家便刊打著「永久享受 Bolt 乘車優惠」的廣告來為其服務招攬客戶。
詐騙與訊息相關的騙術
  • SMS PVA 可讓詐騙集團註冊大量的即時通訊軟體帳號,然後利用這些帳號從事社交工程詐騙。
  • 詐騙的手法從工作徵才、包裹運送、到股票投資、甚至約會詐騙等等五花八門。 
  • 大多數這些不請自來的訊息都是經由文字簡訊或是像 Line、WhatsApp 和 WeChat 這類即時通訊軟體發送。

誰會受到這類服務影響? 

一般消費者
  • 智慧型手機遭到感染的消費者,是不知情的受害者。他們的隱私堪慮,因為這些服務能夠存取它們的私密資料、訊息和應用程式。
  • 受害者的行動電話號碼會被用於不法行動,而且不知情的使用者可能因為裝置遭到感染而成為共犯。
  • 從幕後操縱 (C&C) 伺服器發送的客製化正規表達式就可看出其簡訊攔截能力並不只侷限於攔截認證碼,還可以用來蒐集一次性密碼 (OTP) 或者甚至當成一種監控工具。
線上平台與服務
  • 手機簡訊認證將被大規模破解,這意味著手機簡訊認證不再是一種完全可信的使用者認證方法。
  • 通過認證的帳號無法保證行為的真實性,許多通過認證的帳號很可能是被當成殭屍來控制的假帳號。
  • 任何未將這類已認證假帳號列入考量的使用者行為模型,都可能不夠精準。  
單一簽入服務
  • 單一簽入 (SSO) 可讓使用者只靠一組憑證就能登入各種服務,例如使用 Google 或 Apple 帳號來登入其他平台。這類帳號雖然會經由手機簡訊發送確認碼來認證,但其他的通訊很可能就是透過平台或應用程式本身來完成。
  • 駭客可以使用 SMS PVA 服務在這些主流平台建立大量帳號,因為手機簡訊認證只需一次。
  • 使用 SMS PVA 服務來建立這類帳號還會衍生出使用者被假冒與身分被盜用的風險。例如,政府機關的入口網站與金融服務網站通常會透過手機確認簡訊來落實「每人一個帳號」的政策。

資安建議

隨著全球疫情迫使許多個人和企業必須透過網際網路來上班和生活,假帳號所衍生的網路詐騙也更加盛行,因為許多企業架設的線上平台都是使用手機簡訊來認證使用者。   

這種認證方式已經成為一種大家普遍接受的方法,不論是用來審核網路帳號,或是用來防止假冒身分與機器人。不過,正如前述討論所說,SMS PVA 服務可輕鬆利用這套系統來幫助犯罪集團從事大規模詐騙。因此,我們希望能透過這份報告點出一次性手機簡訊認證作為帳號認證主要手段的不足之處。  

未來,線上平台應該認清這類認證方法的弱點,並考慮採用其他對策。若使用者對手機的安全有所疑慮,可考慮採用趨勢科技行動安全防護,它能有效偵測及防範惡意應用程式並攔截手機與 C&C 伺服器的通訊流量。不過,智慧型手機製造商自己也應隨時保持警覺,從韌體開發到手機組裝與出貨都應嚴密監控自己的產品。此外,認證服務與線上平台開發者也應採取具體的措施來改善手機簡訊認證機制,防止手機簡訊服務詐騙變得越來越猖狂。

本文轉載自趨勢科技部落格。