4月13日�����,上海市信息安全行業(yè)協(xié)會(huì)在市經(jīng)信委的指導(dǎo)下召集各方召開“銀行卡信息安全閉門會(huì)議”�,研究應(yīng)對(duì)竊取銀行卡信息常見手段的防范措施�����。
澎湃新聞?dòng)浾邚臅?huì)上獲悉����,信息安全專家表示,很多第三方互聯(lián)網(wǎng)支付公司廣泛應(yīng)用短信驗(yàn)證碼�,但短信的安全防護(hù)等級(jí)不高,易受到木馬攔截���、網(wǎng)絡(luò)釣魚��、電信詐騙����、信道竊聽等攻擊。
短信驗(yàn)證碼安全防護(hù)等級(jí)不高
上海市信息安全行業(yè)協(xié)會(huì)會(huì)長(zhǎng)談劍峰表示�����,任何一種認(rèn)證方式從商用密碼技術(shù)本身來講全球沒有破解算法攻擊的案例����,都是在應(yīng)用過程中產(chǎn)生的攻擊漏洞。比如�,國(guó)內(nèi)銀行此前普遍采用的U盾認(rèn)證方式,但U盾可以被電腦的木馬程序劫持��。
“殺毒軟件只能殺掉已知的病毒���,有很多木馬是為特定攻擊目標(biāo)定制的���,即使是殺毒軟件也殺不掉���。只要你的電腦中了木馬��,就會(huì)被遠(yuǎn)程控制���,作案者可以將U盾中的數(shù)字證書轉(zhuǎn)移給自己�?!闭剟Ψ逭f。
他還表示�����,現(xiàn)在很多第三方互聯(lián)網(wǎng)支付公司����,包括手機(jī)銀行,開始廣泛應(yīng)用動(dòng)態(tài)手機(jī)驗(yàn)證碼的方式�����,短信驗(yàn)證碼因其方便易用���、覆蓋面廣���,已經(jīng)成為當(dāng)下最主要的移動(dòng)支付認(rèn)證手段。然而短信作為一種通信方式的固有屬性���,決定了其安全防護(hù)等級(jí)不高����,易受到木馬攔截、網(wǎng)絡(luò)釣魚�、電信詐騙、信道竊聽等攻擊�����。而安全性更高的USBKey和OTP令牌等硬件認(rèn)證設(shè)備��,因?yàn)閿y帶不便�、操作復(fù)雜、兼容性低����,在移動(dòng)互聯(lián)網(wǎng)的場(chǎng)景下不被用戶所接受,最終造成了“安全的沒人用�、便捷的不安全”這樣尷尬的局面。
談劍峰表示�,實(shí)際生活中發(fā)生的案例有犯罪分子通過電商平臺(tái)購(gòu)買電信運(yùn)營(yíng)商提供的USIM卡,也就是傳統(tǒng)意義上的空卡��,然后通過短信指令向電信運(yùn)營(yíng)商發(fā)出換卡的申請(qǐng)�,運(yùn)營(yíng)商就會(huì)給用戶正使用的手機(jī)發(fā)去驗(yàn)證碼�。在此之前�����,犯罪分子早已用自己的偽基站給用戶發(fā)送釣魚短信���,假稱用戶剛剛訂購(gòu)了某收費(fèi)的訂閱欄目,如果要取消訂閱�����,就要回復(fù)收到的驗(yàn)證碼���。此時(shí)��,有相當(dāng)一部分用戶會(huì)信以為真���,并把驗(yàn)證碼回復(fù)給犯罪分子。然后���,利用得到的驗(yàn)證碼��,空中換卡功能完成��,犯罪分子手中的空卡順利地轉(zhuǎn)變?yōu)橛脩舻氖謾C(jī)號(hào)碼��,而用戶手中的手機(jī)號(hào)碼則成為空卡��。此時(shí)�����,用戶的手機(jī)無法收發(fā)短信�����,接聽撥打電話���,但用戶會(huì)誤以為自己可能信號(hào)不好����。在這短暫的時(shí)間里���,犯罪分子就可以拿著手中的SIM卡去盜取用戶的賬號(hào)和密碼����,因?yàn)橛邢喈?dāng)一部分網(wǎng)站都提供手機(jī)號(hào)碼登錄和找回密碼功能�����?�!斑@種損失有可能讓用戶傾家蕩產(chǎn)��?��!闭剟Ψ灞硎?��。
建議互聯(lián)網(wǎng)身份認(rèn)證實(shí)行統(tǒng)一管理
談劍峰表示,國(guó)內(nèi)第三方互聯(lián)網(wǎng)企業(yè)會(huì)要求用戶進(jìn)行實(shí)名認(rèn)證�����,認(rèn)證時(shí)用戶往往要輸入姓名
