研究:線上銀行SMS身分認證機制早被徹底破解
網路資訊雜誌
曹乙帆-編譯– 2013/12/13
分類: 安全防護, 新聞
根據本週三發表的一份研究報告指出,當前被廣泛使用、嘗試保護線上銀行帳號存取的安全功能,隨著網路罪犯開發出針對Android裝置的進階惡意軟體後,其安全作用似乎變得愈來愈低。
許多銀行提供自家顧客雙因素認證機制,該機制會發送SMS訊息,而訊息中內含可登錄至Web表單中的密碼。該密碼會在數分鐘內失效,以便阻止擁有受害者登錄憑證的網路犯罪者。
如今,有許多行動惡意軟體套件會與桌上型電腦惡意程式協同合作,來共同擊敗一次性密碼,資訊安全研究暨公告機構NSS Lab研究副總裁Ken Baylor撰文指出。
「別再依賴基於SMS的身分認證機制,」該報告指出:「其早被徹底破解。」
幾乎所有的行動惡意程式,皆針對開放原始碼Android作業系統而撰寫,該作業系統會允許使用者安裝任何應用軟體。反觀iOS行動惡意程式則相對罕見,這是因為凡未通過蘋果審查的應用軟體,一律不得下載。
網路犯罪者採用左右開弓的組合攻擊。一旦PC遭到入侵劫持,惡意軟體會在螢幕上跳出訊息框或彈出式選單,並要求使用者的電話號碼、手機作業系統類型與手機型號。
若點取了會將一次性密碼發送到手機上之惡意程式安裝檔提示訊息,隨即會有連結寄到手機上,如此一來,便能讓某人登錄使用者銀行帳號。
http://news.networkmagazine.com.tw/classification/security/2013/12/13/61447/
研究:網路銀行SMS認證機制不安全
資安人
作者:編輯部 -12/16/2013
安全研究機構NSS Labs在最新十二月份的安全報告中指出,隨著駭客發展更先進的惡意軟體,網路銀行透過SMS簡訊傳送認證碼的認證機制也變得不可靠了,因為有許多手機病毒會與電腦病毒聯合互通,以破解這種一次性的密碼,所以網路銀行不能再依賴這種基於SMS的認證。
為了提高網路銀行的安全性,提供雙因素(two-factor)認證機制是目前很普遍的做法,而比較常見的是,除了輸入帳號、密碼外,另外還會透過SMS簡訊傳送一組認證碼到手機,以做第二層的認證。該認證碼通常會在數分鐘內失效,以避免遭網路罪犯利用。
但是,這樣的做法也遭到破解。NSS Labs表示,網路罪犯都會採用一石二鳥的做法,舉例來說,一旦個人電腦遭到感染,就會彈跳出新的視窗要求用戶輸入其手機號碼、手機作業系統和手機型號等訊息,然後就會傳送一個惡意連結到此用戶的手機,若該使用者不慎點擊就會下載一個惡意程式,然後會將用戶收到的一次性密碼寄到另一個手機號碼,好讓網路罪犯得以入侵此用戶的銀行帳號。
目前較常被用來攻擊網路銀行的電腦病毒包括SpyEye、Citadel、Zeus和Carberp等,都已經內含入侵行動Android平台的元件。除了這些惡意病毒之外,報告也指出,金融機構的安全機制並未與時俱進也是一大問題。許多網路銀行的應用程式有許多安全漏洞,相當於為駭客開了方便大門,比如許多銀行目前使用的手機應用程式僅為HTML包裹程式(Wrappers),而不是安全的原生Apps。
報告也建議,要提升網路銀行應用程式的安全性,應該具有更全面的做法,包括採用強化的瀏覽器(hardened browsers)、以憑證為基礎(certificate-based)的身份辨識、唯一的安裝金鑰、in-app加密、地理定位位置(geolocation),以及裝置本身的指紋辨識等。
對於此類手機病毒與電腦病毒聯合運作,瓦解網銀SMS密碼的攻擊方式,來誼數位科技總經理林政毅表示,這種攻擊手法如果從已經與帳號綁定的設備上就無法攻擊成功,透過綁定「設備指紋」、「地理位置」、搭配「身分風險管理引擎」來進行身分認證將比SMS簡訊認證更為嚴謹,而如果驗證碼是從一個安全的認證管道加密來發送,就能更有效地防止。
駭客鎖定Google和Apple平台的網路銀行apps
除了NSS Labs指出的認證機制已經不再可靠外,App Store上充斥著惡意的App,也讓網路銀行安全問題加劇。
根據另一家安全公司Arxan Technologies最近甫發布的研究報告指出,在所有100個最熱門的付費Android apps中,每一個app都被入侵過,相較之下,Apple的平台較好一些,在100個最熱門的付費iOS apps中,被駭的比例為56%。而值得留意的是,駭客主要鎖定的為金融性相關的apps,即透過惡意的apps,進而取得用戶在銀行的帳號、密碼,以及其他有用資訊,以竊取帳戶中的金額。
雖然並非所有人下載的apps都是惡意的,因為這些惡意的apps通常都是透過第三方下載網站下載,而非Apple和Google授權的商店,不過,網路銀行apps的安全性儼然已成為銀行業者的重要挑戰,並需要用戶更多的關注。
http://www.informationsecurity.com.tw/article/article_detail.aspx?tv=11&aid=7734
