蚁粉还在用手机短信接收一次性密码(OTP)来登录银行账户吗?
注意啦,再过三个月,这种登录方式就要走入历史了!
新加坡金管局和新加坡银行公会(ABS)今天(9日)宣布,本地主要银行的客户未来若要登录银行账户,只能使用数码认证(digital token)通过浏览器或手机银行应用程序登录银行账户。
受影响者将是已在手机等移动设备激活数码认证的用户。
目前仍在使用实体密码生成器(physical token)的用户则暂不受影响,但当局促请仍在使用实体密码生成器者更换成较安全的数码认证方式。
星展银行在2021年2月起已停止发放实体密码生成器。
大华银行和华侨银行的客户目前虽然还可更换实体密码生成器,但两家银行也建议这类客户转换成数码认证。
可预见在不久的将来,实体密码生成器(physical token)或许将功成身退。
如何区分你是用哪种方式登录?
简单来说,如果你目前登录银行账户的过程并无使用实体密码生成器(下图),你应该就是已经激活数码认证的用户,未来你将只能使用数码认证登录银行系统或进行其他交易。
本地银行为何废除一次性密码(OTP)?
一言以蔽之:
不安全。
近年来网络诈骗猖狂。新加坡警察部队数据显示,去年本地共发生5938起钓鱼骗案,受骗金额至少达1420万新元。
不法分子透过截取短信OTP,将受害者的银行存款一扫而空的事件时有所闻。
短信(SMS)有“先天缺陷”
一次性密码(OTP)在2000年代开始被使用作为双重认证的一种选项,当时OTP被认为可以加强网络安全。
在OTP普遍作为双重认证方式之一的年代,用户登录银行等服务时,会在输入用户名称和密码后,收到一组透过手机短信接收的一次性密码(OTP),输入OTP后才能完成登录。
然而,用来发送OTP的短信(SMS)却是年代久远的产物,短信传输所仰赖的七号信令系统(SS7)早在1970年代就已问世,因此有着难以克服的弱点。
科技的发展,让中间人攻击(Man-in-the-Middle Attack,简称MITM)愈来愈普及,新时代骗子能用更先进的技术和更精深的策略骗取一次性密码。
简单来说,短信没有加密,不法之徒只要在受害者的手机载入恶意软体,就能轻易截取短信内容,包括用来登录银行账户的OTP。
这导致双重认证之一的OTP一旦被破解,接下来不法之徒只需取得受害者的其他身份凭证或相关账户密码,就可进一步侵入受害者的银行等机密账户。
新加坡网络安全局今年5月曾发出指南,提醒公众市面上有锁定安卓手机为目标的恶意软体,并指这些恶意软体能够读取和删除受害者的短信OTP。
在银行存款遭盗窃的案件中,就有受害者坚称自己从未收到过银行转账的OTP。
骗子诈骗手法多元
除了通过在受害者手机安装恶意软体,截取短信内容,一些骗子还可能冒充受害者,说服电信运营商将受害者原有的手机号码更换至其他由骗子掌握的SIM卡。
如此一来,骗子也能在没有取得受害者手机的情况下,接收到OTP。
此外,不法分子还会通过社交工程(social engineering)和网络钓鱼手法,取得受害者的身份凭证。
这包括在短信夹带钓鱼网址、通过社交媒体发送信息或电邮来获取受害者的敏感资讯。
不法分子还可能设计出和银行等正规机构真伪难辨的网站,诱使受害者输入个人资料,让不法分子有机可趁。
数码认证有时也会造成不便
和短信OTP相比,数码认证更安全。
只要个人手机仍在自己手上,遭不法分子远端诈骗的风险相对较低。
新加坡银行公会常务主任洪爱雯指出,停用OTP能为消费者提供进一步的保护,防止他们的银行账户未经授权被登入。
“这些措施可能会带来一些不便,但这是防止诈骗和保护客户的必要措施。”
只不过,安全性有了,数码认证却不尽然是最使人便利的认证方式。
红蚂蚁和身边一些小伙伴就曾碰过使用信用卡付款时,银行应用程序的数码认证迟迟没有推送,造成一些麻烦。
一次性密码(OTP)“走下神坛”,数码认证取而代之,但后者的一些技术问题,也还有不小的进步空间。
