幾天來,圖盧茲警方拘留了大約十人,原因是郵政銀行帳戶被駭客入侵透過進行詐欺性轉帳。損失金額:超過80萬歐元。但這些海盜的作案手法是什麼呢?事實上,要進行欺詐性銀行轉賬,犯罪者必須先註冊為收款人。然而,此操作受到稱為« 證書代碼 »,強大的身份驗證協議:當使用者想要新增銀行地址時,他們會透過簡訊收到驗證碼,必須在 Web 應用程式中輸入該驗證碼。因此,先驗地,需要克服的障礙相當高。銀行應用程式是否有缺陷?
提問者01網,法國郵政子公司確認他們的工具是毫無疑問的,從而使我們在昨天的大多數新聞文章中讀到的內容無效。駭客一方面依靠網路釣魚來恢復標識符,另一方面依靠行動惡意軟體來攔截智慧型手機上的驗證碼。為此,郵政銀行通訊部門為我們的用戶提供了一系列的好提示。例如 :“切勿回覆可能代表郵政銀行發送給您的電子郵件”或者“在您的智慧型手機上安裝防毒軟體”。銀行機構也強調,所有受害者都已獲得賠償。
存在其他解決方案
無論如何,即使郵政銀行的安全系統沒有真正的缺陷,這次駭客攻擊也顯示了智慧型手機驗證碼安全系統的限制。隨著行動裝置越來越成為駭客的攻擊目標,它們不再被視為可靠的第二個身份驗證因素。因此,Certicode 等系統的未來似乎最終會受到損害。此外,一些銀行已經採取了嘗試,提供替代方式。除了透過 SMS 發送的動態代碼外,Crédit Mutuel 和 CIC 還要求從列印在紙上的網格中提取代碼。在大眾銀行,動態程式碼由 USB 金鑰格式的加密金鑰產生。
禁止使用智慧型手機作為身分驗證工具還有第二個原因。越來越多的用戶透過行動終端進行交易。在這種情況下,兩個身份驗證因素(使用者名稱/密碼和驗證碼)因此在同一媒體上執行,這取消了該系統應提供的安全等級。
