智慧型手機驗證 銀行交易更安全
- 李明芳
-
資訊安全新創公司「DUO Security」希望提供更安全的銀行交易解決方案,將客戶的交易資訊透過銀行與終端使用者以外的第2裝置,也就是智慧型手機(Smartphone),來驗證交易資訊。此公司已開發出適用於不同智慧型手機平台的應用程式,藉此做為銀行與客戶之間的驗證平台,讓客戶在收到手機上的交易資訊細節後,可以按下確認,隨即完成交易。
事實上,此種銀行與客戶電腦間的溝通方式,往往暴露於被駭客攻擊的危險中。駭客對於銀行客戶的電腦掌控性強,即使透過1組以上的身分確認要素(factor),或臨時亂數取得的密碼,都未能有效防止詐騙行為的猖獗。此外,針對防毒軟體,駭客會定期更新其程式碼,這也是為什麼銀行為保障線上交易安全,已規定不允許僅有1組密碼做為確認帳戶的依據。木馬程式可做到即時更改銀行交易資料,將受騙客戶的款項轉入一中間單位「錢騾」(money mule),也就是台灣所謂的「禁制帳戶」,而讓客戶看起來,款項是經由合法管道匯出。
DUO Security表示,Zeus駭客最出名的就是,利用木馬程式詢問受害者安裝應用程式於其手機上,以規避從其智慧型手機所發送的密碼簡訊,而使用者安裝的惡意程式即會將這些簡訊的程式碼傳給駭客,由駭客去完成交易。雖然DUO Security並非第1個專注於手機資安的廠商,其他如RSA、Entrust、PhoneFactor等其實也有類似透過手機驗證交易的技術。不過,許多產品其實只是發行1組密碼,而這對於駭客的木馬程式來說,是極為脆弱的漏洞。
因此,讓使用者能在確實看見交易結果前做確認,便成為很重要的過程。DUO Security利用加密來驗證此溝通管道是從合法註冊的使用者發出,且發送的對象也是合法註冊的使用者。DUO Security與銀行網站整合,只需要1組密碼。客戶不需輸入密碼,銀行也不需在其網路上執行特殊的硬體或對網站進行重大變更。他們希望這樣的做法超越傳統多因子(multifactor)的身分驗證流程,使其技術著重於簡易操作,只要在電腦上按1個按鍵,就會在手機上收到通知,最後確認也是在手機上按1個按鍵,即可完成。這樣一來能讓更多的使用者運用此技術,讓交易多1層保障。
