觀點

研究:網路銀行SMS認證機制不安全

2013 / 12 / 16
編輯部
研究:網路銀行SMS認證機制不安全

安全研究機構NSS Labs在最新十二月份的安全報告中指出,隨著駭客發展更先進的惡意軟體,網路銀行透過SMS簡訊傳送認證碼的認證機制也變得不可靠了,因為有許多手機病毒會與電腦病毒聯合互通,以破解這種一次性的密碼,所以網路銀行不能再依賴這種基於SMS的認證。

為了提高網路銀行的安全性,提供雙因素(two-factor)認證機制是目前很普遍的做法,而比較常見的是,除了輸入帳號、密碼外,另外還會透過SMS簡訊傳送一組認證碼到手機,以做第二層的認證。該認證碼通常會在數分鐘內失效,以避免遭網路罪犯利用。

但是,這樣的做法也遭到破解。NSS Labs表示,網路罪犯都會採用一石二鳥的做法,舉例來說,一旦個人電腦遭到感染,就會彈跳出新的視窗要求用戶輸入其手機號碼、手機作業系統和手機型號等訊息,然後就會傳送一個惡意連結到此用戶的手機,若該使用者不慎點擊就會下載一個惡意程式,然後會將用戶收到的一次性密碼寄到另一個手機號碼,好讓網路罪犯得以入侵此用戶的銀行帳號。

目前較常被用來攻擊網路銀行的電腦病毒包括SpyEye、Citadel、Zeus和Carberp等,都已經內含入侵行動Android平台的元件。除了這些惡意病毒之外,報告也指出,金融機構的安全機制並未與時俱進也是一大問題。許多網路銀行的應用程式有許多安全漏洞,相當於為駭客開了方便大門,比如許多銀行目前使用的手機應用程式僅為HTML包裹程式(Wrappers),而不是安全的原生Apps。

報告也建議,要提升網路銀行應用程式的安全性,應該具有更全面的做法,包括採用強化的瀏覽器(hardened browsers)、以憑證為基礎(certificate-based)的身份辨識、唯一的安裝金鑰、in-app加密、地理定位位置(geolocation),以及裝置本身的指紋辨識等。

對於此類手機病毒與電腦病毒聯合運作,瓦解網銀SMS密碼的攻擊方式,來誼數位科技總經理林政毅表示,這種攻擊手法如果從已經與帳號綁定的設備上就無法攻擊成功,透過綁定「設備指紋」、「地理位置」、搭配「身分風險管理引擎」來進行身分認證將比SMS簡訊認證更為嚴謹,而如果驗證碼是從一個安全的認證管道加密來發送,就能更有效地防止。

駭客鎖定Google和Apple平台的網路銀行apps
除了NSS Labs指出的認證機制已經不再可靠外,App Store上充斥著惡意的App,也讓網路銀行安全問題加劇。

根據另一家安全公司Arxan Technologies最近甫發布的研究報告指出,在所有100個最熱門的付費Android apps中,每一個app都被入侵過,相較之下,Apple的平台較好一些,在100個最熱門的付費iOS apps中,被駭的比例為56%。而值得留意的是,駭客主要鎖定的為金融性相關的apps,即透過惡意的apps,進而取得用戶在銀行的帳號、密碼,以及其他有用資訊,以竊取帳戶中的金額。

雖然並非所有人下載的apps都是惡意的,因為這些惡意的apps通常都是透過第三方下載網站下載,而非Apple和Google授權的商店,不過,網路銀行apps的安全性儼然已成為銀行業者的重要挑戰,並需要用戶更多的關注。