11月17日消息,在过去的五年里,SIM卡交换诈骗已经成为对物联网(IoT)设备最常见的攻击之一,有证据显示,任何拥有手机的人都有风险。来自国家欺诈报告中心Action Fraud的数据显示,自2015年以来,此类骗局的受害者人数激增了400%,并给英国消费者造成了超过1000万英镑的损失。
近年来,基于短信的一次性密码(OTP)越来越受欢迎。这是大家熟悉的认证方式,服务提供商(如银行或电子邮件提供商)向用户的移动设备发送一个临时代码,要求在指定时间内提交。
这种系统提供了一种双因素认证的水平,除了用户密码之外,还希望能够提供安全性。短信OTP受欢迎的主要原因之一是其对用户的友好性,用户无需预先安装额外的应用程序就能对应用程序或交易进行认证。
一个日益严重的威胁
然而,短信一次性口令存在一些重大的安全问题。除了用户在旅行中可能收不到短信时出现的挑战外,他们还容易受到SIM卡交换、恶意软件和SS7(信号系统7)攻击。
为了进行SIM卡交换攻击,犯罪分子会冒充受害者到移动供应商处(通常使用公共信息),并将他们的电话号码切换到属于攻击者的新移动设备(和SIM卡)上。一旦发生这种情况,任何基于短信的OTP都会被发送给攻击者,他现在拥有受害者的电话号码。然后,他们就可以访问受害者的账户。
防止基于SIM卡的攻击
对于寻求更好的方法来防止SIM卡交换攻击的企业来说,可以使用一种更好的认证方法,利用设备本身的 "秘密",而不仅仅是电话号码。在这种情况下,由于手机内的秘密是需要作为认证过程的一部分,所以接管受害者的电话号码不会帮助攻击者伪造身份。
有几种解决方案使用本地存储的秘密,包括软件一次性密码令牌和软令牌SDK(软件开发工具包)。然而,这些解决方案受到不同的攻击载体的影响:秘密可以被恶意软件从用户的移动设备中窃取,然后被攻击者在其他地方使用,以冒充用户的设备。
因此,更好的解决方案是需要一个本地的秘密(这样SIM卡交换对攻击者没有用),同时提供强大的保护,防止该秘密被恶意软件窃取。传统的解决方案需要专用的硬件(如一次性密码令牌或智能卡),这在可用性方面存在非常大的挑战。一种更好的方法是使用加密认证的安全软件。
基于安全的多方计算(MPC),密码认证通过将密码密钥和秘密分成多个部分,并在移动设备和服务器之间共享,来保护密码密钥和秘密不被窃取。密码密钥部分永远不会在任何地方、任何时间组合在一起--防止被盗的机会。如果攻击者只窃取了加密密钥的一部分,即所谓的密钥份额,如果没有其余的份额,该密钥份额就毫无用处。此外,密钥份额经常是随机的,因此攻击者必须在基本相同的时间盗取两个份额才能学到任何东西。
考虑到用户的移动设备和企业的服务器之间有很强的隔离性,这是很困难的。其结果是一个纯软件的解决方案,结合了可用性和高安全性。