面对日益严峻的OTP盗刷网钓威胁,支付产业与电商产业都必须采取更积极的应对策略。
从当前威胁态势来看,在资安业者戴夫寇尔3月举行的资安攻击型研讨会,台湾骇客协会理事戴辰宇(GD)指出:Real-time Phishing(即时网钓)这类中间人攻击的盛行,显示攻击者要突破OTP验证机制已变得普遍,而网路犯罪领域PhaaS平台的流行,则代表网钓产业的专业分工更加细致。
当我们更充分了解这些网路犯罪技术的演进,才可以设想更周延的因应之道。戴辰宇对支付产业与电商产业,也分别提出提升防护力的建议。
(一)以支付产业而言,现今电信业推动门号认证、SIM卡验证,是一种可采行的进阶验证方法。电信公司可查询该门号是否由真正的SIM卡持有人使用。此外,当怀疑当交易存在风险时,应采取更有效的验证机制,例如,发送通知并要求点击验证连结来放行,这比单纯输入OTP码安全,因为该连结可验证额外资讯,而且攻击者此时较难诱骗使用者提供连结。
(二)以电商产业而言,可采取多层次的安全策略,像是采用新的身份验证机制,如Passkey、FIDO、生物识别等,减少对OTP的依赖;建立更好的装置指纹识别机制,像是时区、GPU、IP位址声誉等环境与硬体绑定。建立主动侦测能力也很重要,以他过去自身经验而言,一笔交易就有10个不同AI/ML诈欺侦测模型在侦测,才能及早发现异常。他并表示,曾发展送出订单时制造大量运算需求,借此让恶意攻击更难执行。他并提醒,不仅支付产业需要更多交易验证措施,电商产业也该如此,一旦侦测到任何可疑交易,应及早再次启动验证机制来降低诈欺风险。