近年來,駭客不只竊取網路服務的帳號密碼,對於啟用MFA的使用者,也會嘗試突破其防禦,例如竊取OTP一次性密碼。
過去我們已經注意到不少事件,而且是發生在幾個不同的場景,例如,惡意程式攔截線上遊戲註冊的簡訊OTP碼,網釣簡訊騙取民眾網路銀行登入的簡訊OTP碼,還有攻擊者鎖定企業員工的面向,騙取員工登入公司GitHub所需的硬體OTP金鑰產生的驗證碼等。
值得關注的是,有個領域也面臨這樣的問題,那就是信用卡支付3D Secure驗證的OTP碼被竊取,最近臺灣就有這類事件。這樣的狀況,突顯駭客已能透過誘騙與竊取OTP碼來突破MFA的保護,其實這不只發生在網路服務帳號的註冊與登入,還有一些場景也會用OTP來多一道驗證程序,因此同樣會受到影響,而支付確認的OTP應用,就是一例。
今年1月永豐信用卡接連遭盜刷,且對方竟通過3D驗證而得逞
這起最近事件發生在農曆年節期間,有多位永豐銀行信用卡用戶在PTT等社群媒體上表示被盜刷,且盜刷過程中還通過了3D Secure驗證,因此受到許多媒體關注而報導。此事也引發金管會的重視,目前看來,很有可能是經過電子郵件管道竊取OTP碼所造成。
根據金管會在1月31日例行記者會的說明,永豐銀行表示有34名持卡人被盜刷76筆,總金額約110萬元,而這些交易是在約30家網路商店消費,發生時間在1月23日至29日間。由於永豐銀行導入3D驗證機制後,該公司設定為在刷卡時會同時將OTP驗證碼,傳送至持卡人手機及電子郵件信箱,不像其他多數銀行僅使用簡訊方式傳送,目前研判,寄送的驗證碼郵件遭到不法人士擷取,所以可以通過3D Secure的驗證。
後續金管會與永豐銀行表示,將依照現行機制列為爭議款,以釐清後續責任歸屬。而銀行方面的因應上,將停止刷卡OTP密碼傳送到電子郵件,並針對盜刷的商店作控管。
去年底已有網銀示警,原因正是用戶購物與郵件帳號遭駭使OTP被竊
在進一步追蹤上述狀況的來龍去脈時,我們發現稍早有件事可能與此有關,那就是連線商業銀行(Line Bank)在2022年12月20日發出一份特別公告,表示將停止簽帳金融卡以電子郵件發送3D Secure的驗證碼,僅保留簡訊發送。
這裡也提到理由:為了因應近期所發生的多起事件,有駭客透過購物平臺等管道竊取顧客電子郵件帳號密碼,進而獲取刷卡交易的3D驗證碼以盜刷。
詢問該公司具體原因之後,他們表示,自2021年開業即導入運用AI技術的FDS欺詐偵測系統,2022年12月之所以停止以電子郵件發送3D驗證碼,是因為Line Bank內部偵測系統,察覺可能的異常交易,所以採取預防措施,降低風險。
綜觀上述3D驗證碼被竊狀況,我們認為須注意下列議題。
首先,已有透過盜用電子郵件方式,竊取持卡人3D驗證碼盜刷的攻擊行動。
其次,從Line Bank這次警告來看,特殊之處在於,似乎指出有購物平臺可能帳密資料庫外洩,或是用戶自己遭網釣或被竊取帳密的狀況,也可能有不同服務共用帳密情形,攻擊者才得以突破接收驗證碼的電子郵件管道。
第三,進一步來看,這也反映用戶購物平臺及電子郵件被盜用的現況,可能平臺缺乏更強健的MFA保護機制,或用戶是未開啟,間接導致這次事件。
第四,現階段3D驗證碼多以簡訊傳送,雖然銀行業者可能為了客戶方便,而決定用多種管道同時通知,原本是一番好意,但這也意味著增加了可被滲透的環節。若有信心這麼做不會有危險,仍應更加注意威脅態勢變化,像是Line Bank既然在永豐發生盜刷事件前,就已經察覺相關威脅加劇,身為同業理應知道有些公司已這麼做,若能及早關閉該傳送管道,或許這類危機就不會發生。
第五,從近年國內金融業強調資安聯防來看,當Line Bank公布相關資訊時,永豐是否有注意到或因應這樣的威脅,這也引發外界對於聯防成效的質疑。
第六,未來若是接收驗證碼的管道都出現更多威脅活動,將形成更大挑戰。
第七,近年資安界推動無密碼登入、防網釣MFA,解決密碼引發的資安隱憂,而信用卡線上刷卡的3D驗證,卻還是採用容易被竊取OTP驗證碼的MFA。
上述多項議題中,最後兩點,是我們這次會特別探討的議題。儘管現在國際支付產業標準組織(EMVCo)所推動的EMV 3DS 2.0,會利用更多條件來進行驗證,但這也需要商戶銀行傳輸更多資訊,並主動判別這些資訊,如此可減少3DS 1.0時較為頻繁的OTP驗證步驟。不過,對於高風險交易的額外認證,最終的確認程序,還是使用OTP來驗證,這樣的問題有辦法強化與改善嗎?
OTP碼仍有可能遭竊,FIDO聯盟與EMVCo正在設法找出改善方法
OTP驗證碼被竊取的威脅有可能變得更普遍,畢竟,在不同場景下的OTP碼被攔截而造成的事件越來越多。這也再次顯示由於OTP認證碼仍是密碼的形式,容易面臨對象鎖定誘騙與竊取。
隨著網站服務無密碼登入的應用漸增,那麼,在國際信用卡組織推動的安全機制上,是否也有新的發展?
事實上,過去兩三年來,EMVCo與FIDO聯盟的確有合作的消息。近期2022年12月13日,就有EMVCo、FIDO與W3C技術相關的最新版文件發布,當中提到將FIDO技術與Secure Payment Confirmation(SPC)與3-D Secure結合使用的說明,儘管臺灣還沒有推動的消息,但仍是金融產業圈應關切的議題。
另外,我們也將這起發生在國內的事件,詢問FIDO聯盟執行長暨行銷長Andrew Shikiar的看法。他表示,使用OTP作為支付確認的第二個因素,同樣面臨傳統密碼的風險,也是糟糕的用戶體驗。所以,他對於3D Secure被繞過並不感到驚訝,因為這是使用OTP,因此,他們正持續與這些團體合作,就是希望在支付流程中有更好的認證方法。
對金融業而言,不只是持續發展與找出最佳解法,更要思考如何在現有機制下,善用資源對應當前威脅的準備。
強化線上刷卡安全,WebAuthn與SPC成關鍵
為了推動網路安全刷卡支付,近兩三年來,國際支付產業標準組織EMVCo,以及FIDO聯盟已有合作,在2022年的一場Authentication 大會上,EMVCo技術長Arman Aygen說明了他們與W3C與FIDO聯盟合作的新動向,將聚焦在利用基於FIDO技術的WebAuthn,以及具有EMV 3DS的Secure Payment Confirmation(SPC),來做到支付合法性的確認,降低詐欺的風險。
熱門新聞
2024-12-02
2024-11-29
2024-12-02
2024-11-30
2024-12-03
2024-12-02