ITeyes研究：在线银行SMS身份认证机制早被彻底破解

        根据本周三发表的一份研究报告指出，当前被广泛使用、尝试保护在线银行账号存取的安全功能，随着网络罪犯开发出针对Android装置的进阶恶意软件后，其安全作用似乎变得愈来愈低。        许多银行提供自家顾客双因素认证机制，该机制会发送SMS讯息，而讯息中内含可登录至Web窗体中的密码。该密码会在数分钟内失效，以便阻止拥有受害者登录凭证的网络犯罪者。

       如今，有许多行动恶意软件套件会与桌面计算机恶意软件协同合作，来共同击败一次性密码，信息安全研究暨公告机构NSS Lab研究副总裁Ken Baylor撰文指出。

     「别再依赖基于SMS的身分认证机制，」该报告指出：「其早被彻底破解。」

       几乎所有的行动恶意软件，皆针对开放原始码Android操作系统而撰写，该操作系统会允许用户安装任何应用软件。反观iOS行动恶意软件则相对罕见，这是因为凡未通过苹果审查的应用软件，一律不得下载。

       网络犯罪者采用左右开弓的组合攻击。一旦PC遭到入侵劫持，恶意软件会在屏幕上跳出讯息框或弹出式选单，并要求用户的电话号码、手机操作系统类型与手机型号。

       若点取了会将一次性密码发送到手机上之恶意软件安装文件提示讯息，随即会有连结寄到手机上，如此一来，便能让某人登录使用者银行账号。