香港銀行保安響警號

銀行以手機短訊(SMS)驗證客戶身份,安全性再受質疑。德國電信公司承認,有客戶因為SMS系統的漏洞而成為黑客攻擊目標,客戶銀行帳戶驚現未授權交易。銀行業人士稱,SMS驗證「保安不是最完美」,而香港專家勸銀行正視問題,逐步淘汰SMS驗證。

黑客突破網銀雙重認證

德國媒體報道,德國電信公司O2證實,黑客利用SMS系統的SS7漏洞攻擊客戶,先以釣魚電郵入侵用戶電腦,取得銀行登入帳戶及密碼;登入網上銀行後,將銀行以SMS傳送至客戶手機的一次性密碼即時轉發至黑客持有的手機,成功地突破雙重認證,將客戶資金轉出帳戶。

專家籲正視 宜逐步淘汰

O2未有公布受影響客戶數目及損失,專家指,SMS保安漏洞屬於環球性,香港銀行應淘汰以SMS驗證客戶身份。香港資訊科技商會資訊保安召集人范健文稱,香港的電信公司鮮有透露在SMS系統上的保安投資,業界有理由懷疑其安全性。他指銀行驗證客戶身份,以保安編碼器或手指紋、聲紋等生物認證會更安全,勸銀行正視問題,逐步淘汰SMS驗證。

香港金融管理局發言人指,目前沒有收到銀行報告與SMS系統相關風險所導致的未授權交易個案。金管局與銀行業會繼續監察不同認證方法的最新科技發展及相關風險,在有需要時,進一步加強風險管理。

SMS系統有一定歷史,當中的SS7網絡是九十年代產物,SS7漏洞一向受關注。美國國家標準技術研究所(NIST)於去年中建議,禁止SMS身份驗證的服務接入政府網絡,指SMS存有遭截取或轉發風險,雙重認證有需要考慮推行新系統取代SMS。

或轉用流動保安編碼器

現時香港以SMS驗證的銀行包括渣打銀行(香港)及星展銀行(香港)等,有不具名銀行主管表示,銀行業是知悉SMS驗證「保安不是最完美,對客人來說亦不是最方便」,因人在海外時未必方便收SMS,所以業界有討論相關話題,在等待時機轉用流動保安編碼器(內置於手機內的程式)或生物認證。

至於傳統保安編碼器(外形如小計數機),該主管表示,現時使用SMS進行雙重認證的銀行不會考慮改用,因為預料到客戶不習慣攜帶額外的硬件,「錢花了亦只會換來客戶投訴」。