新加坡金融管理局(MAS)宣布了一项影响该国所有主要零售银行的新要求,即在未来三个月内逐步淘汰一次性密码(OTP)的使用。这一举措是政府与新加坡银行协会(ABS)为保护消费者免受网络钓鱼和其他诈骗而商定的。
新加坡金融管理局的公告中写道:"2000 年代开始使用 OTP 作为多因素身份验证选项,以加强在线安全。然而,技术的发展和更复杂的社会工程学策略使骗子能够更容易地通过钓鱼方式获取客户的 OTP,例如通过建立与真实网站非常相似的虚假银行网站。"
除钓鱼网站外,OTP多年来一直是Android恶意软件的攻击目标,帮助其操作者绕过目标账户的双因素身份验证保护。
这促使Google今年对"RECEIVE_SMS"、"READ_SMS"和"BIND_Notifications"权限的滥用采取了更严厉的措施,新加坡是首批获得新保护的国家之一。
此外,中间人攻击可能会截获 OTP,如果是基于短信的 OTP,则可能会被进行 SIM Swap攻击的威胁者截获。
新加坡银行客户现在将使用数字令牌代替 OTP,他们必须在移动设备上激活数字令牌。
据 ABS 称,该国三大银行60% 至 90%的客户已经激活了数字令牌,这三家银行分别是星展银行、华侨银行和大华银行。
MAS 解释说:"数字令牌将验证客户的登录,而无需使用 OTP,因为骗子可能会窃取或诱骗客户泄露 OTP。我们强烈建议尚未激活数字令牌的用户尽快激活,以便更好地防范网络钓鱼行为者和骗子。没有激活数字令牌的客户将继续像以前一样收到 OTP,但预计这些客户将越来越少。"