面對日益嚴峻的OTP盜刷網釣威脅,支付產業與電商產業都必須採取更積極的應對策略。
從當前威脅態勢來看,在資安業者戴夫寇爾3月舉行的資安攻擊型研討會,台灣駭客協會理事戴辰宇(GD)指出:Real-time Phishing(即時網釣)這類中間人攻擊的盛行,顯示攻擊者要突破OTP驗證機制已變得普遍,而網路犯罪領域PhaaS平臺的流行,則代表網釣產業的專業分工更加細緻。
當我們更充分了解這些網路犯罪技術的演進,才可以設想更周延的因應之道。戴辰宇對支付產業與電商產業,也分別提出提升防護力的建議。
(一)以支付產業而言,現今電信業推動門號認證、SIM卡驗證,是一種可採行的進階驗證方法。電信公司可查詢該門號是否由真正的SIM卡持有人使用。此外,當懷疑交易存在風險時,應採取更有效的驗證機制,例如,發送通知並要求點擊驗證連結來放行,這比單純輸入OTP碼安全,因為該連結可驗證額外資訊,而且攻擊者此時較難誘騙使用者提供連結。
(二)以電商產業而言,可採取多層次的安全策略,像是採用新的身份驗證機制,如Passkey、FIDO、生物識別等,減少對OTP的依賴;建立更好的裝置指紋識別機制,像是時區、GPU、IP位址聲譽等環境與硬體綁定。建立主動偵測能力也很重要,以他過去自身經驗而言,一筆交易就有10個不同AI/ML詐欺偵測模型在偵測,才能及早發現異常。他另表示,曾發展送出訂單時製造大量運算需求,藉此讓惡意攻擊更難執行。他並提醒,不僅支付產業需要更多交易驗證措施,電商產業也該如此,一旦偵測到任何可疑交易,應及早再次啟動驗證機制來降低詐欺風險。
熱門新聞
2024-08-05
2025-07-14
2025-07-14
2025-07-14
2025-07-11
2025-07-14
2025-07-11
Advertisement