星展银行发言人说,在进行高风险交易时,已经启动数码认证的客户可通过数码密码生成器进行认证,仍在使用实体密码生成器的用户,则可照旧通过实体密码生成器和短信OTP来为高风险交易进行认证,无论在哪种情况下,公众都得通过多重验证才能完成交易。

何文敏最后建议,用户应该采取不同措施保护自己,例如设置较强的密码并定期更换、定期检查账户权限和提防不寻常的信息或电话。

李耀扬说,能取得指定人士的OTP的网络机器人其实并不新,它主要通过入侵手机等双重认证器材,窃取OTP。骗子一般会先通过社交工程下手,尝试骗取受害者提供OTP让他们进行验证。

网上出现声称能“代劳”取得一次性密码认证的服务的网络机器人,只要购买这款服务,机器人就能通过改号欺诈等手法得到一次性密码,盗取受害者资料或金钱。

延伸阅读

涉恶意软件盗户头资料案 17被捕者包括四16岁少年
TikTok出现新钓鱼骗局 五天内六人上钩

Check Point Software Technologies科技安全专家李耀扬受询时指出,任何形式的OTP都可以被盗取。“一般上,类似服务是通过手机或其他已被入侵的器材,取得OTP的。”

至于规定银行为客户提供不再使用OTP的选项,金管局认为目前没有这个必要,因为这将限制银行的认证工具,会削弱多层保护的功能。  

何文敏解释说,骗子得先掌握受害者的一些资料和数据,例如账户名称、密码或手机号码,再利用机器人打出自动语音电话(robocall)或仿冒某个网站的聊天机器人来骗取OTP。 两人都认为,短信OTP其实是一种方便的认证方式,但用户使用时还是得提高警惕,个别机构使用短信OTP服务时也要评估风险。

前国务资政兼社会政策统筹部长尚达曼,于7月5日通过书面答复议员严燕松和陈有明相关国会询问时说,基于短信发出密码安全性不足,金融管理局要求银行不要把短信密码当作唯一认证高风险交易的途径。

新思科技亚太地区客户服务主管何文敏说,一个配置良好和完全补丁(patched)系统,照理说不可能被“绕过”,但从网络罪犯的角度来说,通过用户取得OTP,突破这层验证的可能性还是存在的。

银行鼓励用户改用手机应用认证

李耀扬以网上银行服务和网上小说网站来进行对比,两者都使用OTP验证,但网上银行服务须要更可靠的验证方式。何文敏也认为,短信OTP虽然可以使用,但它遭攻击的可能性较大,因此使用手机应用认证等方式还是比较妥当的。

两人都说,OTP系统一般使用随机系统生成一组具时效性且独特的数字,用户可通过不同方式如短信或电邮等收到数字,并在指定时间内将其输入。

根据读者提供的信息,只要购买这款服务,输入受害者名字、电话和想要入侵的服务(例如付款公司等),该服务设置在Telegram内的网络机器人(bot)就能通过改号欺诈(spoofing)等手法从受害者那里得到一次性密码。

他说,本地银行已经逐步这么做,金管局也将为所有零售银行制定期限。 华侨银行、大华银行和星展银行在回复《联合早报》询问时表示,他们在几年前就已开始让用户通过短信OTP以外的方式,如通过手机应用等为高风险交易进行认证。

有读者日前向《联合早报》反映,在Telegram应用群组看到有人发广告称能协助取得一次性密码(OTP)认证,让人“轻松”入侵他人账户。