分析SMS验证码的风险和预防

1简介

2015年12月24日，中国银联发布的《 2015年移动互联网支付安全》显示，有82％的受访者使用手机完成了支付. 但是，该报告还显示，在过去一年中，有1/8的受访者遇到了欺诈行为，比2014年增长了6％. 其中，将近50％的受访者是通过社交帐户进行欺诈的，其他欺诈行为包括Trojan病毒，网上诱骗网站和伪造的基站欺诈消息（伪造10086和其他名称）. 同时，近90％的受访者认为移动支付必须具有一定的支付验证链接； 76％的受访者习惯于通过手机短信动态验证码进行安全验证，比2014年增加了12％.

用户身份验证是业务安全性的最基本部分. 用户身份认证是指采用可行且可靠的方式将用户的数字身份与物理身份相对应. 更笼统地说，这意味着在Internet上证明“您是”.

每个金融服务机构在处理用户身份验证时，通常会根据每个业务的风险级别采用不同的验证因素组合，包括单因素验证，两因素验证和多因素验证.

验证因素分为三种:

所有验证: 用户唯一的验证信息，包括脸部，虹膜，指纹等；

已知验证: 帐户名，密码，手势，密码问题，PIN码等；

所有验证: ，银行卡，密码卡，USB KEY

金融服务机构通常要求用户对移动帐户业务执行两因素身份验证，即使用“已知” +“所有”两因素身份验证方法.

SMS验证码由于不需要额外的设备，使用方便（用户随身携带）以及用户的学习成本低（例如快速付款，SMS验证码登录）而被广泛使用. ，以及网上银行/手机银行微价值交易等.

尽管SMS验证码凭借上述优点击败了第二代USB KEY，音频KEY，动态令牌和其他方法，但已得到更广泛的使用，但存在被黑客入侵的风险短信认证. SMS验证码的广泛使用也带来了很多安全风险.

2风险分析

SMS验证的安全性基于以下预设:

1. 用户的手机卡不会轻易丢失或被盗，并与用户具有紧密的绑定关系.

2. 运营商维护的通信渠道相对安全.

尽管主要运营商已停止SMS保险箱服务，但主要的云服务提供商也限制了SMS验证码的同步（例如，同步时间延迟了24小时等）；木马相继出现，卡更换攻击，无线信道监控等仍然受到SMS验证码的威胁.

当前，SMS验证的常见威胁如下:

1. 智能手机上的短信木马

智能手机功能强大，可以安装更多应用程序，从而可以无限扩展智能手机的功能，这也导致黑客很容易获得用户信息（Android手机扎根/ iPhone手机越狱），只要促使智能手机安装与Trojans捆绑在一起的应用程序，所有验证系统都将全面崩溃. 此外，攻击者甚至可以通过网络钓鱼WiFi获取登录密码，付款密码和SMS验证.

假冒软件使用类似于正版软件的图标或名称来迷惑用户并诱使用户下载和使用它们. 这些伪造软件中大多数都包含恶意代码，并且以推播广告，恶意演绎，隐私盗窃等形式损害用户的利益，并为伪造软件的开发者牟利.

2. 基站无线拦截验证码

攻击者通过特殊的接收设备干扰手机信号，并从基站广播的空中接口截获SMS内容. 尽管用户使用诸​​如CDMA，3G，4G等更安全的信道，但攻击者却进行了降维攻击. 减少为GSM后，将强制监视用户信道. 攻击者甚至诱骗用户通过网络钓鱼文本消息等下载和安装恶意软件，网络钓鱼窃取了用户的姓名，卡号，，密码，CVV2代码和其他信息.

3. 短信验证码欺诈

人们是信息安全系统中最不可控制的因素. 以前，曾发生过这样的事件: 攻击者恶意，并欺骗了SMS验证码以窃取用户资金.

攻击者使用企业在同一客户下交易不同的帐户，以方便对银行登录密码进行简单身份验证，使用从安全控制较弱的其他第三方网站获得的客户帐户和登录密码信息进入银行，然后在收到客户帐户更改的SMS通知后使用客户恐慌，假冒客户服务人员诱使客户获取快速付款的SMS验证码以窃取资金.

4. 卡更换攻击

攻击者利用操作员对替换卡人员的身份验证较弱的问题，从而导致了替换卡攻击，并且某些应用程序仅需要SMS验证码即可重置各种帐户的密码.

5. 金融服务机构的系统漏洞

SMS验证码通常是4位或6位数字. 在某些应用程序中，SMS验证码在验证过程中会存在漏洞，从而可能会导致SMS验证码被暴力破解.

3风险预防与控制

在不更改手机验证码作为认证因素的前提下，为改善上述问题，需要多方共同解决. 目前，GSM要退出历史舞台还需要一些时间. 国家等行政管理机构应加强对伪基站等活动的打击. 运营商应加强对每个营业厅的安全意识教育，严格按照规范流程，通过有效手段核实换卡人员的身份，避免换卡攻击.

一方面，每个金融服务机构都应加强对用户的安全宣传教育，并加强自身的安全控制手段. 通过SMS验证码消除此类低级和高风险漏洞的暴力破解；发送短信验证码时，请附上关键信息（验证目的，交易信息: 转账金额，付款人姓名，账户等详细信息）；加强自身移动终端应用程序的安全性，包括使用有效的技术手段来防止界面劫持和屏幕捕获/记录，使用独立的安全键盘输入密钥信息，安全键盘应随机分配密钥. 并加强对移动终端应用程序运行环境的安全检测，并实现对病毒，木马和恶意应用程序的拦截和控制.

中国人民银行《网上银行系统信息安全通则》对短信验证的基本要求:

a）打开SMS验证码时，如果通过柜台打开，则应验证客户的有效ID和银行卡密码；如果打开，则应使用客户在柜台上注册的手机号码作为SMS验证码的有效性. 手机号码. 更改手机号码时，应有效验证客户的身份.

b）交易的关键信息应与SMS验证码一起发送给客户，并提示客户进行确认.

c）SMS验证码应随机生成，并且长度不能少于6位.

d）SMS验证码应该对时间敏感，并且最大长度不超过1分钟.

e）应根据终端的特性采取有效措施，防止恶意程序窃取，分析和篡改SMS验证码，以确保SMS验证码的机密性和完整性，例如，结合使用外部身份验证介质（例如密码卡等）.

中国人民银行《网上银行系统信息安全通则》中短信验证码的基本要求，也可作为非银行金融机构短信验证码安全防护设计的参考服务机构.

此外，金融服务机构还可以采用有效的技术手段来建立设备认证系统，以识别和绑定用户移动终端设备短信验证卡，并建立用户，设备和服务之间的多维对应关系. 使用诸如SSE（Soft-SE），HOTP和设备指纹之类的关键技术来确保相关信息的存储和运行时安全性.

移动互联网，银行卡，中国银联，验证码，

本文来自电脑杂谈，转载请注明本文网址：
http://www.pc-fly.com/a/tongxinshuyu/article-205928-1.html