几天来,图卢兹警方拘留了大约十人,原因是邮政银行账户被黑客入侵通过进行欺诈性转账。损失金额:超过80万欧元。但这些海盗的作案手法是什么呢?事实上,要进行欺诈性银行转账,犯罪分子必须首先注册为收款人。然而,此操作受到称为« 证书代码 »,强大的身份验证协议:当用户想要添加银行地址时,他们会通过短信收到验证码,必须在 Web 应用程序中输入该验证码。因此,先验地,需要克服的障碍相当高。银行应用程序是否存在缺陷?
提问者01网,法国邮政子公司确认他们的工具是毫无疑问的,从而使我们在昨天的大多数新闻文章中读到的内容无效。黑客一方面依靠网络钓鱼来恢复标识符,另一方面依靠移动恶意软件来拦截智能手机上的验证码。为此,邮政银行通讯部门为我们的用户提供了一系列的好提示。例如 :“切勿回复可能代表邮政银行发送给您的电子邮件”或者“在您的智能手机上安装防病毒软件”。银行机构还强调,所有受害者均已得到赔偿。
存在其他解决方案
无论如何,即使邮政银行的安全系统没有真正的缺陷,这次黑客攻击也展示了智能手机验证码安全系统的局限性。随着移动设备越来越成为黑客的攻击目标,它们不再被视为可靠的第二个身份验证因素。因此,Certicode 等系统的未来似乎最终会受到损害。此外,一些银行已经采取了尝试,提供替代方式。除了通过 SMS 发送的动态代码外,Crédit Mutuel 和 CIC 还要求从打印在纸上的网格中提取代码。在大众银行,动态代码由 USB 密钥格式的加密密钥生成。
禁止使用智能手机作为身份验证工具还有第二个原因。越来越多的用户通过移动终端进行交易。在这种情况下,两个身份验证因素(用户名/密码和验证码)因此在同一介质上执行,这取消了该系统应提供的安全级别。
