新加坡银行将在 3 个月内逐步淘汰在线登录一次性密码（OTP）

新加坡的零售银行机构有三个月的时间来逐步停止使用一次性密码（OTP）进行登录在线账户时的身份验证，以降低网络钓鱼攻击的风险。该决定由新加坡金融管理局（MAS）和新加坡银行协会（ABS）于 2024 年 7 月 9 日宣布。

新加坡金融管理局表示： “已经在移动设备上激活数字令牌的客户必须使用其数字令牌通过浏览器或手机银行应用程序登录银行账户。 ”“数字令牌将验证客户的登录身份，而无需诈骗者可以窃取或诱骗客户获得的OTP（一次性密码）。”

ABS 主管 Ong-Ang Ai Boon 在一份声明中表示：“这项措施为客户提供了进一步的保护，防止未经授权访问他们的银行账户。虽然这些措施可能会带来一些不便，但这些措施对于防止诈骗和保护客户来说是必要的。”

虽然 OTP 最初是作为第二因素身份验证 (2FA) 的一种形式引入的，以加强帐户安全性，但网络犯罪分子设计了银行木马、OTP 机器人和网络钓鱼工具包，它们能够使用高仿钓鱼网站来获取此类验证码。

OTP 机器人可通过 Telegram 访问，它们通过呼叫用户并说服他们在手机上输入 2FA 验证码来帮助绕过帐户保护，将社会工程学提升到一个新的水平。值得一提的是，此类机器人主要是为了窃取受害者的 OTP 验证码，因此诈骗者必须通过其他方式获取有效凭证，例如数据泄露、暗网上出售的数据集以及凭证收集网页。

卡巴斯基威胁研究员 Olga Svistunova在最近的一份报告中表示： “OTP 机器人的主要任务是给受害者打电话。诈骗者指望的就是这些电话，因为验证码只在有限的时间内有效。”“虽然消息可能在一段时间内得不到答复，但给用户打电话可以增加获得验证码的机会。打电话也是一个尝试用语气对受害者产生预期效果的机会。”

上周，SlashNext 披露了名为 FishXProxy 的“端到端”网络钓鱼工具包的细节，虽然表面上看起来“仅用于教育目的”，但它降低了绕过防御措施的情况下大规模发起网络钓鱼活动的技术门槛。

该公司指出： “FishXProxy 为网络犯罪分子提供了强大的武器库，用于进行多层电子邮件钓鱼攻击。攻击活动从唯一生成的链接或动态附件开始，绕过初步审查。”

“受害者随后将面临使用 Cloudflare 的 CAPTCHA 的高级反机器人系统，从而过滤掉安全工具。巧妙的重定向系统会掩盖真正的目的地，而页面过期设置会阻碍分析并帮助进行活动管理。”

FishXProxy 的另一个值得注意的功能是使用基于 cookie 的跟踪系统，允许攻击者识别和跟踪不同钓鱼项目或活动中的用户。它还可以使用HTML smuggling技术创建恶意文件附件，从而可以逃避检测。

思科 Talos表示：“HTML  smuggling在绕过电子邮件网关和网络代理等外围安全控制方面非常有效，主要有两个原因：它滥用 HTML5 和 JavaScript 的合法功能，并且利用不同形式的编码和加密。”

上个月，网络安全公司 Resecurity 注意到网络犯罪分子正在 Telegram 和暗网上推广另一种名为 V3B 的新型网络钓鱼工具包，该工具包能够针对爱尔兰、荷兰、芬兰、奥地利、德国、法国、比利时、希腊、卢森堡和意大利主要银行的客户。报告称： “V3B 网络钓鱼工具包支持超过 54 家金融机构，采用定制和本地化的模板来模仿欧盟网上银行和电子商务系统的身份验证和验证流程。”

多年来，移动恶意软件的兴起也促使谷歌在新加坡推出一项新的试点计划，旨在防止用户侧载某些滥用 Android 应用权限来读取 OTP 和收集敏感数据的应用程序。

声明：消息来源thehackernews，版权归作者所有。文章内容仅代表作者独立观点，不代表沃通CA立场，转载目的在于传递更多信息。如有侵权，请联系删除。