第三方支付使用短信验证码存在安全隐患

未央网 作者: 姜丽钧

4月13日,上海市信息安全行业协会在市经信委的指导下召集各方召开“银行卡信息安全闭门会议”,研究应对窃取银行卡信息常见手段的防范措施。

澎湃新闻记者从会上获悉,信息安全专家表示,很多第三方互联网支付公司广泛应用短信验证码,但短信的安全防护等级不高,易受到木马拦截、网络钓鱼、电信诈骗、信道窃听等攻击。

短信验证码安全防护等级不高

上海市信息安全行业协会会长谈剑峰表示,任何一种认证方式从商用密码技术本身来讲全球没有破解算法攻击的案例,都是在应用过程中产生的攻击漏洞。比如,国内银行此前普遍采用的U盾认证方式,但U盾可以被电脑的木马程序劫持。

“杀毒软件只能杀掉已知的病毒,有很多木马是为特定攻击目标定制的,即使是杀毒软件也杀不掉。只要你的电脑中了木马,就会被远程控制,作案者可以将U盾中的数字证书转移给自己。”谈剑峰说。

他还表示,现在很多第三方互联网支付公司,包括手机银行,开始广泛应用动态手机验证码的方式,短信验证码因其方便易用、覆盖面广,已经成为当下最主要的移动支付认证手段。然而短信作为一种通信方式的固有属性,决定了其安全防护等级不高,易受到木马拦截、网络钓鱼、电信诈骗、信道窃听等攻击。而安全性更高的USBKey和OTP令牌等硬件认证设备,因为携带不便、操作复杂、兼容性低,在移动互联网的场景下不被用户所接受,最终造成了“安全的没人用、便捷的不安全”这样尴尬的局面。

谈剑峰表示,实际生活中发生的案例有犯罪分子通过电商平台购买电信运营商提供的USIM卡,也就是传统意义上的空卡,然后通过短信指令向电信运营商发出换卡的申请,运营商就会给用户正使用的手机发去验证码。在此之前,犯罪分子早已用自己的伪基站给用户发送钓鱼短信,假称用户刚刚订购了某收费的订阅栏目,如果要取消订阅,就要回复收到的验证码。此时,有相当一部分用户会信以为真,并把验证码回复给犯罪分子。然后,利用得到的验证码,空中换卡功能完成,犯罪分子手中的空卡顺利地转变为用户的手机号码,而用户手中的手机号码则成为空卡。此时,用户的手机无法收发短信,接听拨打电话,但用户会误以为自己可能信号不好。在这短暂的时间里,犯罪分子就可以拿着手中的SIM卡去盗取用户的账号和密码,因为有相当一部分网站都提供手机号码登录和找回密码功能。“这种损失有可能让用户倾家荡产。”谈剑峰表示。

建议互联网身份认证实行统一管理

谈剑峰表示,国内第三方互联网企业会要求用户进行实名认证,认证时用户往往要输入姓名、身份证号、银行卡号,这些信息会在一些不规范的网站流出,甚至以低廉价格在黑市出售。“现在很多数据是从互联网公司非法获取,比例达到80%。”谈剑峰说。

对此,在场一家银行信息安全部的负责人坦言,第三方支付对银行冲击很大,导致银行不得不跟进,提高自身的便捷性,而安全性则发生不同程度的下降。

据该负责人透露,现在第三方有很多快捷支付方式,对此银行没有控制权限,只要签约时能验证卡号、身份证,通过银行预留的手机接收验证码就可以开通第三方支付。甚至现在银行本身都不得不全力发展快捷支付,以前网银登录转账都要通过U盾,现在各大银行的手机银行都只要手机动态验证码就可以进行大额转账。“确实不够安全,但它非常便捷,我们为了用户需求的,也没有办法。”这名负责人表示。

在会议中,信息安全专家提出,应从法律角度完善相关法律法规,从根本上保障个人隐私,督促企业在收集、利用用户的信息同时也要加强对信息、数据的保护。大众在享受互联网带来的便利的同时,也要对自身的信息进行保护,比如不明链接不点、密码分级管理等。

专家还提出建议,不要再让互联网公司直接通过信用卡、银行卡、身份证、手机等方式进行实名认证,身份认证的数据应由统一部门管理,用户通过认证后拿到唯一的身份ID,再通过ID在互联网公司进行开户。此时,互联网公司的实名认证只需此认证获得的ID,无需其他过多信息,以保障安全性。

同时,专家也呼吁不要在互联网上使用生物认证方式,生物特征代表唯一性的同时也意味着不可再生性,简单来说密码丢了还能更改,生物信息被盗那就没办法了。也可以使用最新的国产SOTP技术,将密钥与算法融合,解决在移动设备中存储密钥的关键性问题,无需硬件认证设备,无需依赖网络,也无需短信,实现安全与便捷的平衡。