锁定信用卡盗刷的网钓攻击,已经横行多年,虽然大家感受到事件越来越多,但可能不清楚的是:骇客攻击技术与网路犯罪生态正在加速演进。因此这方面的威胁现况,已成为电商与支付业者不容忽视的严峻挑战。
事实上,以OTP网钓攻击而言,过去我们看到不少这类事故消息,但其攻击目标其实有相当多种,例如,一种是「针对企业员工,窃取员工登入内部系统所需OTP码」,像是Dropbox员工使用OTP式硬体金钥来强化员工帐号登入防护,但2022年时,骇客在伪冒登入的钓鱼网页上不仅骗取帐密,也即时骗取OTP码,进而入侵企业内部;一种是「针对客户,窃取服务业发给客户用于登入服务所需的OTP码」,像是台湾多家银行有采用简讯OTP来保护客户网银登入,但在2021年时,有犯罪组织伪冒多家银行发送钓鱼简讯,并以假网银登入页面来骗取客户帐密,也即时骗取OTP码,进而使受害者的网银帐户资金被盗转。
还有一种不容忽视的网钓攻击手法,是「针对信用卡用户,窃取刷卡交易认证时所的OTP码」,也就是针对信用卡号及3D验证环节进行网钓。不过这类攻击的相关研究揭露相对较少,使得我们对其具体概况难以深入了解,特别的是,在今年3月台湾资安业者戴夫寇尔举行的资安攻击型研讨会上,有场演讲恰巧说明最新OTP窃取手法,以及信用卡盗刷背后的网钓威胁。最近该场演说第一,早年网钓是No-OTP Phishing,也就是非窃取OTP码的传统网钓时代,2020年之后转为Real-time Phishing时代,也就是可以同步窃取OTP。我们可以发现,这方面的相关技术,在中国网路犯罪圈称同步鱼,在资安界则常称为AiTM(Adversary-in-The-Middle)中间人攻击手法,像是微软曾多次揭露这类攻击活动。
第二,网钓即服务(PhaaS)数量大增,这不仅是助长网钓攻击,也突显这类犯罪服务的提供已是相当成熟。例如,2023年初,他们从中国的地下信用卡资料兜售黑市观察到,已有50多个这样的云端代管订阅制钓鱼网站平台,并且大多数都提供OTP窃取的功能,到了2025年初,这些PhaaS平台更是增加到100个以上,而且其功能也在持续进化,像是提供半套或全套的租赁方式,还有内建多种资安侦测规避的功能。
AiTM攻击手法兴起,促使OTP网钓更容易
尽管资安界早就呼吁OTP不够安全,只能视为过渡到强健MFA的临时方案,因为仍是具有一定使用期效的文数字符号形式,还是存在被撷取、盗用的可能性,而容易遭遇网钓攻击,不过至今许多场景仍仰赖OTP来保护帐号安全。
对此状况,戴辰宇指出,自2020年起,Real-time Phishing(即时网钓)技术已成热门的网路犯罪手法,这意味,攻击者要突破OTP验证机制已变得普遍。
这类即时网钓攻击经常运用AiTM这类中间人攻击技术,也就是说,骇客在受害者与合法网站之间建立一个代理伺服器(Proxy)拦截流量,并在受害者输入帐号密码与OTP后,即时将窃取资讯转发至合法网站,进而完成盗刷交易。
虽然国内近年有在加强OTP网钓的防范,但他也提醒,像是联卡中心去年推出网页识别码的机制,让使用者在输入OTP码时,还要从4个选项来勾选收到的识别码,能多一道程序来缓解。但是,攻击者只要在网钓OTP码过程中,增加识别码的输入框,其实还是可以获取识别码并绕过防护,让不熟悉机制的使用者上当。
事实上,关于上述提及的AiTM网钓手法,我们过去经常看到这方面的威胁揭露。
窃取OTP码方法很多,网钓只是其中一种伎俩
除了常见的OTP网钓攻击之外,我们也必须警惕骇客其他窃取OTP的手法。例如,台湾大哥大A32手机,曾发生设备出厂时已被植入恶意程式,因此犯罪组织后续可拦截发送到手机的简讯OTP,而其目的是以用户门号来冒名申请游戏帐号,以做为人头帐号;国际间则不时传出骇客利用SIM卡劫持(SIM Swap)攻击手法,获得手机号码控制权,进而能够窃取简讯OTP,并用于不同攻击活动;又或是电子邮件遭入侵导致以Email传送的OTP码被窃取。这些手法等于是直接入侵窃取资讯,而不是用钓鱼方式让受害者自己将资讯提供给骇客。