透過簡訊執行二次驗證不再安全,美國國家標準技術研究所建議別再使用

在臺灣,隨著資安意識擡頭,透過手機簡訊執行進階身分認證,在金融產業中,算是相當普遍的做法。然而,根據美國國家標準技術研究所(National Institute of Standards and Technology,NIST)在2016年的數位身分認證指南(Digital Authentication Guideline)中提到,他們建議企業不要再透過電信系統,包含簡訊和電話語音的方式,執行二次驗證,甚至計畫即將把這種驗證方式,排除在未來的進階身分驗證標準之外。Datablink亞太區行銷副總裁Lawrence Ang認為,企業應考慮透過其他方式執行,若是同樣要透過手機,以App的型式可以提供更加安全的驗證流程。

美國國家標準技術研究所(NIST)指出,透過手機簡訊取得OTP認證碼不夠安全的因素有2個:一是行動裝置的作業系統容易遭受木馬程式的中間人攻擊,進行控制;另一點則是在電信通訊基礎上,傳送簡訊的安全性受到挑戰。

最早出現的是Zeus-In-The-Mobile(ZitMo),這是可在Windows Mobile、Android、Symbian,以及BlackBerry平臺中執行,並攔截簡訊中OTP的行動裝置惡意軟體,感染途徑則是藉由已感染Zeus惡意程式的電腦,誘使用戶在行動裝置上安裝。

另一個同樣是針對手機簡訊而來,也相當有指標性的惡意軟體是SpyEye(另一種說法是SpyEye-In-The-Mobile,因此也有人寫成SPITMO),在2012年時,這個軟體大肆感染超過140萬臺的電腦與行動裝置。同一年,Eurograbber以同樣的攻擊手法,從3萬個企業與個人的銀行帳戶中,總計竊取高達3千6百萬歐元。

如今,針對Android手機的簡訊攔截,2016年甚至在俄國和巴西等地,已有駭客直接銷售木馬攻擊套件,代表性的惡意攻擊程式是Android.Bankosy。

《全文請見iThome(http://www.ithome.com.tw/news/112845)》