短訊認證的危機

【蘋果日報】香港金融科技的發展，隨着儲值支付工具（Stored Value Facility）及快速支付系統「轉數快」（Faster Payment System）相繼推出，稱得上是突飛猛進，但在這個快速轉變的市場出現後，卻好像變得危機重重，打擊了一部份市民使用的信心。
例如在儲值支付工具剛剛推出不久後，有電子錢包被發現於綁定信用卡時，沒有做好「認識你的客戶」（Know your customer）與及雙重認證（Two Factor Verification），結果被不法之徒利用盜取回來的信用卡資料，綁在未有經過實名制的電子錢包上，然後盜取款項。接着在「轉數快」推出後，又有不法分子透過系統進行直接扣賬授權服務（Electronic Direct Debit Authorization，簡稱eDDA），在未有實名制的電子錢包上，利用騙取回來的個人資料，將銀行戶口非法地綁上電子錢包，當然又是成功地盜取了款項。
上述兩宗「大新聞」的解決方法其實都大同小異，主要是在綁定信用卡或銀行戶口時，利用短訊（SMS）發出一個一次性的密碼，讓銀行戶口用戶或者信用卡持有人，得知自己的銀行戶口或信用卡被綁定在電子錢包或其他金融工具上，防止被不法分子盜用。利用手機短訊作為雙重認證或者兩步驗證，在很多希望講求安全性的平台上，包括金融科技、電郵、社交媒體及即時通訊軟件等，均被廣泛採用，但大家知不知道，其實背後存在着很大的保安風險？
黑客截取手機短訊不難
早前有朋友向我求助，指他們的WhatsApp雖然已經有雙重認證，卻依然無緣無故被騎劫，坊間也有網站聲稱可以騎劫別人的WhatsApp，究竟是甚麼原理？2017年5月，有多份外國媒體及網站報道，指現今電訊商互聯網絡採用的SS7（Signaling System No.7）訊號系統有重大的漏洞，令黑客可以截取或轉發手機短訊，令到雙重認證形同虛設，德國有銀行客戶因而被盜取款項，相信騎劫WhatsApp也是利用同樣原理。SS7是1980年的設計，當時完全沒有網絡保安的考慮，保安專家警告需盡快修補這個漏洞，但因為關乎到全球不同的網絡通訊商，在設備及技術上都要升格，這方案似乎是知易行難。
近年業界相繼推出新的認證方法，取代舊有的短訊認證，例如利用Google Authenticator，在網站掃描QR Code後便可以同步，有點像我們現在使用的保安編碼器。另外，香港公司IPification利用通訊商的IP地址，作為認證的新技術，連密碼都不需要輸入，同時可以有效阻截黑客盜取一次性密碼的風險。我相信香港金管局及各大銀行應該都知道，利用通訊商短訊作為認證的風險，但是有否想過甚麼應對的良方？
方保僑
香港資訊科技商會榮譽會長