新加坡金融管理局 (MAS) 宣布了一项新要求,要求该国所有主要零售银行在未来三个月内逐步停止使用一次性密码 (OTP)。
该举措由政府和新加坡银行协会(ABS)商定,旨在保护消费者免遭网络钓鱼和其他诈骗行为的侵害。
新加坡金融管理局在公告中表示:“OTP 于 21 世纪引入,作为一种多因素身份验证选项,旨在加强在线安全。”
“然而,随着技术的发展和更加复杂的社会工程策略,诈骗者可以更轻松地窃取客户的 OTP,例如通过建立与真实网站非常相似的虚假银行网站。”
除了钓鱼网站之外,OTP 多年来一直是 Android 恶意软件的目标,帮助其运营商绕过目标账户的双因素身份验证保护。
这促使谷歌今年对“RECEIVE_SMS”、“READ_SMS”和“BIND_Notifications”权限的滥用采取更积极的行动,新加坡是首批获得新保护措施的国家之一。
此外,OTP 可能会被中间人攻击拦截,如果它们是基于 SMS 的,则可能会被进行 SIM 卡交换攻击的威胁行为者拦截。
新加坡银行客户现在将使用数字令牌代替 OTP,他们必须在移动设备上激活 OTP。
据澳大利亚统计局称,该国三大银行(星展银行、华侨银行和大华银行)的60% 至 90% 的客户已经激活了数字代币。
新加坡金融管理局解释说:“数字令牌将验证客户的登录身份,而无需诈骗者可能窃取或诱骗客户披露的 OTP。”
强烈建议尚未激活数字代币的用户尽快激活,以便更好地防范网络钓鱼者和诈骗者。
未激活数字代币的客户将继续像以前一样收到 OTP,但预计这类客户的数量将越来越少。