現在很多服務都會使用一次性簡訊密碼做認證,尤其是以線上刷卡消費時,最常出現輸入卡號、送出訂單時就要求輸入 OTP 簡訊驗證密碼,而且幾乎全台的銀行都有這樣的認證機制。
但你知道 OTP 簡訊認證早從 2017 年起就被美國標準檢驗技術研究院、趨勢科技…等多個技術單位、資安團隊認定並不安全,並且呼籲儘早拋棄改用更安全的驗證方式。
昨天晚上在看 PTT 信用卡版的時候,就看到一篇文章,裡面網友說自己最近收到一個 OTP 驗證要求的簡訊,但是自己當下並沒有進行任何的線上刷卡行為,因此他認為信用卡資料遭外流,有人利用他的信用卡號線上刷卡,還好有 OTP 幫他擋下,所以當下並沒有理會這個 OTP 驗證簡訊,並且也打電話告知銀行自己的信用卡遭盜刷並掛失。
照理說這筆刷卡應該就不會刷過了,但後來網友的帳單上還是出現了這筆十萬以上異地異常消費紀錄,儘管網友強調這個不是他刷的、也報了掛失,但銀行端查詢後,發現 OTP 簡訊驗證已經通過,因為 OTP 簡訊只會傳送到信用卡持卡人的手機,有 OTP 認證通過一定就是信用卡持卡人輸入了簡訊上的認證碼,所以要求網友還是要支付這筆款項。
看到這裡你抓到重點了嗎????
只要你的卡號不慎遭到外流,然後詐騙集團用這個卡號去刷卡,你以為還有 OTP 簡訊當最後一道把關的防線,結果對方還是有辦法弄到你的 OTP 簡訊認證碼,那這筆盜刷的金額你還是得付!
OTP 簡訊驗證碼原始的用意就是當你的卡被人撿走,對方拿這張卡去刷,發卡銀行會發送一個簡訊給你,但這個簡訊對方收不到,所以就無法完成刷卡驗證的流程,這樣就不會被盜刷。
但是!
美國標準檢驗技術研究院、趨勢科技等資安團隊在 2017 年就發現並且不斷提醒,如果駭客在你的手機植入木馬、利用漏洞…等方式就可以遠端竊取你收到的那封 OTP 簡訊內容,這樣他們就能夠取得刷卡時要求的那組 OTP 驗證碼。
除了 OTP 簡訊驗證碼以外,有的銀行還會很好心的發送 OTP 電子郵件,雙管齊下以防你收不到 OTP 簡訊,但 OTP 電子郵件只要在傳輸過程中沒有做好加密、保護,就更容易遭到駭客竊取,2023 年永豐銀行就發生過類似的事情。
以台灣目前的銀行幾乎都有使用 OTP 簡訊驗證碼的機制來說,我們也不可能看到這樣的事件然後就說我要關閉信用卡刷卡的 OTP 驗證,這樣使用者該如何自保?