欢迎光临国财网>>首页—国财网!网站地图 添加收藏 设为首页
您现在的位置:首页 > 国内新闻

通付盾刘伟:短信验证码被轻易劫持 账户安全谁来保障?

作者:zgdx  来源:互联网  更新时间:2016-06-28 16:18

  今年4月初,一条“用户因为回复退订短信,导致三张银行卡内数万元存款在三小时内陆续被转走”的新闻刷屏网络。短信验证码的安全问题被推上了舆论的风口浪尖。 

    案件还原: 

    4月的某天,用户收到订阅短信,回复TD提示指令错误;几分钟过后,用户再次收到订阅短信,提示余额不足;紧接着,用户收到运营商发来的短信USIM卡验证码;以及一条提示回复取消+验证码,取消订阅的短信;用户按要求输入后,用户手机无信号,接下来,支付账户内余额及三张银行卡内数万元存款在三小时内陆续被转走。



    图1. 退订短信引发银行卡盗刷案案件过程还原


    1、被泄露的账户信息——严峻的账号安全形式 

    信息泄露是移动互联时代最大的信息安全威胁,2015年,我国相继发生几大邮箱账密泄露事件,大量用户数据被窃取。其中最严重的泄露数据更是超过5.4亿条,引发了社会公众对个人信息泄露的大面积恐慌。同年,各大网站的账户系统漏洞,均造成了逾千万的信息泄露,包括身份证、社保参保、财务、薪酬、房屋、旅行行程等信息均在此列。 

    “报告显示2015年国内数据泄露50亿+,人均8条”通付盾产品部总经理刘伟博士在6月23日的银行系统IT技术交流会上对此表达了深刻的忧虑。在巨大经济利益的驱使下,不法分子不惜铤而走险,使用撞库、盗用、欺诈等方式进行数据窃取和数据贩卖,盗取用户个人信息。 

    用户个人信息(包括姓名、身份证号码、银行卡号、手机号码、支付账号等)一旦泄露,在支付的关键环节,动态的身份认证方式的可靠性,将直接影响用户的资金安全。 

    2、一条短信验证即可确认转账——短信验证码之殇 

    短信验证码作为动态的身份认证方式是否可靠?分析一下本文开头提到的“退订短信引发的银行卡盗刷”案件,不难发现,在收到退订短信之前,用户的个人信息已经完全泄露,这是不法分子发起的、针对个人信息已经泄露的用户,进行的恶意短信验证码劫持攻击。 

    不法分子依托从黑市交易得来的用户个人信息,利用短信验证码身份认证可轻易被劫持的漏洞,使用银行卡快捷支付绑卡和手机号码密码找回功能,发起了资金窃取和资金转移。

 

    图2. 短信验证码进行身份认证的单向流程示意 
 

    事实上,短信验证码身份认证是很多银行和支付平台常用的移动身份认证方式。诚然,短信验证码具有用户体验好,成本相对较低的优势,但其以短信发送单次密码的方式,安全风险显而易见,由于业务系统与用户手机短信之间单向的信息传递,极易发生短信通道被劫持、手机盗用、山寨钓鱼网站和手机中木马病毒的问题,进而引发验证码劫持、中间人攻击、非授权访问等安全威胁,引起账户资金盗用。


  

  图3. 短信验证码身份认证的安全风险汇总 
 

    总的来说,当前银行系统常用的身份认证方式主要包括短信验证码、令牌和U盾。从安全性的角度考虑,U盾的安全性优于令牌,而令牌优于短信验证码。与之相对的便捷性则恰恰相反,在用户体验方面,短信验证码优于令牌,而令牌又优于U盾。也就是说,短信验证码作为身份认证方式的安全级别是最低的,但出于用户体验考虑,在身份认证领域仍然被广泛应用。 

    3、技术与技术博弈——账户安全何去何从 

    “通付盾一直在探讨一种能够通过技术手段兼顾安全与便捷的身份认证方式。”在通付盾产品部总经理刘伟看来,能够对抗黑产和不法分子花样百出的账号盗用方式的,只有技术创新。 

    “多因子认证是通付盾采用软件(移动APP)模拟硬件U盾,使用手机实现前后端双因素认证。”据刘伟介绍,从技术的角度讲,通付盾多因子认证整合前台应用加固、安全控件等多项安全技术,以及后台设备指纹等移动身份认证方案,实现准U盾级别的安全认证。通过PIN码、生物特征等多种身份认证方式,内置设备指纹及应用保护模拟硬件存储硬件ID,远程获取密钥生成OTP,能够解决所有U盾能够解决,而短信验证码无法解决的安全威胁。 

    账户安全,安全是第一位的,但用户体验也同样重要。通付盾多因子认证集安全与便捷于一身,在实现准U盾级认证方式的同时,用户通过安全信道,以手机为终端确认账户登录、转账等关键操作,便捷性甚至不输短信验证码,实现极致的用户体验。



    图4. 通付盾多因子认证集安全性与便捷性于一身

    在账号盗用情况日益猖獗、黑产技术水平不断升级的未来,通付盾多因子认证的市场表现将越发值得期待。 

    本文根据通付盾产品部总经理刘伟博士在6月23日由《金融科技时代》杂志主办的银行系统IT技术交流会上发表的演讲整理而成。

 
分享到:

关键词:

更多精彩热图
更多今日推荐
更多最新标签
更多拓展阅读
商务合作 法律声明 网站地图 网站标签 企业邮箱 联系我们 友情链接 关于我们
版权所有 未经授权 禁止转载、复制或建立镜像
通付盾刘伟:短信验证码被轻易劫持 账户安全谁来保障?