蟻粉還在用手機簡訊接收一次性密碼(OTP)來登錄銀行帳戶嗎?
注意啦,再過三個月,這種登錄方式就要走入歷史了!
新加坡金管局和新加坡銀行公會(ABS)(9日)宣布,本地主要銀行的客戶未來若要登錄銀行帳戶,只能使用數碼認證(digital token)通過瀏覽器或手機銀行應用程式登錄銀行帳戶。
受影響者將是已在手機等移動設備激活數碼認證的用戶。
目前仍在使用實體密碼生成器(physical token)的用戶則暫不受影響,但當侷促請仍在使用實體密碼生成器者更換成較安全的數碼認證方式。
星展銀行在2021年2月起已停止發放實體密碼生成器。
大華銀行和華僑銀行的客戶目前雖然還可更換實體密碼生成器,但兩家銀行也建議這類客戶轉換成數碼認證。
可預見在不久的將來,實體密碼生成器(physical token)或許將功成身退。
如何區分你是用哪種方式登錄?
簡單來說,如果你目前登錄銀行帳戶的過程並無使用實體密碼生成器(下圖),你應該就是已經激活數碼認證的用戶,未來你將只能使用數碼認證登錄銀行系統或進行其他交易。
(聯合早報)本地銀行為何廢除一次性密碼(OTP)?
一言以蔽之:
不安全。
近年來網絡詐騙猖狂。新加坡警察部隊數據顯示,去年本地共發生5938起釣魚騙案,受騙金額至少達1420萬新元。
不法分子透過截取簡訊OTP,將受害者的銀行存款一掃而空的事件時有所聞。
簡訊(SMS)有「先天缺陷」
一次性密碼(OTP)在2000年代開始被使用作為雙重認證的一種選項,當時OTP被認為可以加強網絡安全。
在OTP普遍作為雙重認證方式之一的年代,用戶登錄銀行等服務時,會在輸入用戶名稱和密碼後,收到一組透過手機簡訊接收的一次性密碼(OTP),輸入OTP後才能完成登錄。
然而,用來發送OTP的簡訊(SMS)卻是年代久遠的產物,簡訊傳輸所仰賴的七號信令系統(SS7)早在1970年代就已問世,因此有著難以克服的弱點。
科技的發展,讓中間人攻擊(Man-in-the-Middle Attack,簡稱MITM)愈來愈普及,新時代騙子能用更先進的技術和更精深的策略騙取一次性密碼。
簡單來說,簡訊沒有加密,不法之徒只要在受害者的手機載入惡意軟體,就能輕易截取簡訊內容,包括用來登錄銀行帳戶的OTP。
這導致雙重認證之一的OTP一旦被破解,接下來不法之徒只需取得受害者的其他身份憑證或相關帳戶密碼,就可進一步侵入受害者的銀行等機密帳戶。
新加坡網絡安全局今年5月曾發出指南,提醒公眾市面上有鎖定安卓手機為目標的惡意軟體,並指這些惡意軟體能夠讀取和刪除受害者的簡訊OTP。
在銀行存款遭盜竊的案件中,就有受害者堅稱自己從未收到過銀行轉帳的OTP。
現今有不少詐騙案件,是在受害者根本沒有到自動提款機操作的情況下,就遭騙子從手機「遠端」將錢轉走。(海峽時報)騙子詐騙手法多元
除了通過在受害者手機安裝惡意軟體,截取簡訊內容,一些騙子還可能冒充受害者,說服電信運營商將受害者原有的手機號碼更換至其他由騙子掌握的SIM卡。
如此一來,騙子也能在沒有取得受害者手機的情況下,接收到OTP。
此外,不法分子還會通過社交工程(social engineering)和網絡釣魚手法,取得受害者的身份憑證。
這包括在簡訊夾帶釣魚網址、通過社交媒體發送信息或電郵來獲取受害者的敏感資訊。
不法分子還可能設計出和銀行等正規機構真偽難辨的網站,誘使受害者輸入個人資料,讓不法分子有機可趁。
數碼認證有時也會造成不便
和簡訊OTP相比,數碼認證更安全。
只要個人手機仍在自己手上,遭不法分子遠端詐騙的風險相對較低。
使用數碼認證的客戶在電腦網頁登錄銀行帳戶時,會被要求使用手機進行數碼認證。(截圖)
接著相關數碼認證便會在手機推送,用戶必須點擊「批准」才能在電腦網頁上登錄帳戶。(截圖)
新加坡銀行公會常務主任洪愛雯指出,停用OTP能為消費者提供進一步的保護,防止他們的銀行帳戶未經授權被登入。
「這些措施可能會帶來一些不便,但這是防止詐騙和保護客戶的必要措施。」
只不過,安全性有了,數碼認證卻不盡然是最使人便利的認證方式。
紅螞蟻和身邊一些小夥伴就曾碰過使用信用卡付款時,銀行應用程式的數碼認證遲遲沒有推送,造成一些麻煩。
一次性密碼(OTP)「走下神壇」,數碼認證取而代之,但後者的一些技術問題,也還有不小的進步空間。
