Keypasco (來毅數位) – 企業身分驗證資安領導廠商,針對 FBI 示警 SMS OTP 驗證提出相關建議。去年12月4月,美國白宮網路和新興技術負責人:副國家安全顧問安妮·紐伯格(Anne Neuberger),揭露了由中國政府所支持的駭客組織“鹽颱風”入侵了包含了威瑞森公司(Verizon)和美國電報電話公司(AT&T)等美國八家主要電信公司的內部網路,竊取了數百萬美國人的通話和簡訊記錄。而早在同年10月底和11月初,美國大選即將邁入尾聲之際,“鹽颱風”即已將目標對準當時的美國總統候選人以及國會議員們,侵入了他們的手機。
在 FBI 官員稱此行為為「美國國家史上最嚴重的駭客攻擊」後,美國網路安全暨基礎設施安全局(CISA)即發出嚴厲警告,強調 SMS 驗證碼的脆弱性,使其容易受到釣魚和其他高級攻擊的威脅。此公告旨在鼓勵與建議企業、組織和個人採用更安全、更能抵禦網路釣魚的身分認證方式,如通行密鑰或身分認證APP。
駭客利用電信業者SS7協定漏洞破解雙因素認證
SS7 協議誕生於 1975 年,是國際電信聯盟(ITU)推薦的共通頻道信號系統標準。然而,SS7 協議的設計缺陷和安全漏洞使得駭客能夠攔截銀行發送給手機用戶的行動交易認證碼(即 SMS OTP 簡訊),從而將手機用戶帳戶中的資金轉出。這進一步助長了網絡釣魚攻擊,增加了金融損失的風險,使得 SMS 認證變得越來越不安全。
CISA 呼籲透過多種舉措的綜合運用降低風險
美國網路安全和基礎設施安全局(CISA)近日呼籲各組織採取多種關鍵措施,以減少網路釣魚和其他安全風險。CISA 強調,組織應轉向抗釣魚方法,採用更安全的身分認證替代方案,例如存儲在通訊設備上的加密保護憑證(通行密鑰)和利用身分驗證應用程式(APP)生成基於時間的一次性密碼(OTP),以避免透過易受攻擊的傳訊方式傳遞密碼。此外,CISA 建議避免使用 SMS 用於帳戶復原和雙因素認證(2FA),並應利用端到端加密以及抗網路釣魚的解決方案來提供更高的安全性。企業和機構必須教育其用戶有關 SMS 的安全風險,並提供採用更安全做法的明確指引。CISA 強調,這些措施將有助於減少網路釣魚攻擊的風險,並提升網路環境的整體安全。
SMS OTP 的外洩將使個人與組織面臨各種風險
來毅數位科技執行長林政毅指出:「依賴 SMS OTP 認證使個人與組織面臨各種風險。」「首先,其中一個主要風險來自於帳戶接管(ATO),攻擊者可以利用攔截的SMS OTP未經授權登入個人和商業帳戶,導致身分盜竊、財務損失和聲譽損害。」此外,林執行長強調:「數據外洩也是一大風險」,駭客一旦進入受損系統,即可下載包含了商業機密、個人資料與財務記錄等機密資訊。而依賴 SMS OTP 進行認證的關鍵系統也容易受到破壞,如鹽颱風攻擊所示,這些攻擊破壞了重要的基礎設施和服務。攔截 SMS OTP 還可以使攻擊者繞過最初安全措施,提高其在網絡中的登入權限,擴大潛在危害。最後,林執行長語重心長地說:「SMT OPT 外洩所要面對後續的漏洞修復,對企業與組織來說,將面臨大量財務與營運成本的壓力,這包含了:司法調查、法律費用和後續的系統優化。」
隨著網絡威脅的不斷演變,對於強大、安全的認證方法的需求從未如此迫切。透過採用端到端加密、抗釣魚技術,組織可以防範未來的攻擊,保護其系統和數據的完整性。
Keypasco 多因素身分認證解決方案可有效消除 SMS OTP 外洩所可能造成的風險
Keypasco 的多因素身分認證解決方案具備多項特色,首先,只有正確的使用者才能從其個人關聯設備、在預先設定好的位置和時間段登錄。此外,我們的產品登入毋需憑證,可避免身分被盜取。服務登入通道與加密認證通道各自分別,可有效杜絕中間人攻擊(MiTM)、瀏覽器中間人攻擊(MiTB)、身份盜竊、釣魚攻擊和帳戶接管(ATO)等網路駭客危害。用戶還可以透過個人 NFC 設備進行無痛且安全的認證設備移轉,並透過 Keypasco 應用程式 APP 在綁定的移動設備上進行「所見即所簽」。我們的產品在符合需求的高度客製化以及使用者數量增加方面,比起傳統的 SMS OTP 方案,更加簡便且更能節省成本。