某日,A君手機突然跳出一則訊息,內容顯示「【xx銀行】您的銀行帳戶顯示異常,請立即登入綁定用戶資料,否則帳戶將凍結使用。接著文末出現一行銀行的網址…」,此時A君不疑有他,慌慌張張點進網址輸入帳號密碼,一不小心就掉入駭客的陷阱。
「通常一般人都不具備檢查網域真偽的能力,讓駭客有機可乘,使用偽裝的釣魚網站,再化身成為銀行業發簡訊給民眾,不疑有他的民眾輸入身分密碼之後,瞬間,駭客便記下民眾的資料,作為進入銀行提領的依據。」偉康科技策略長黃閔綉表示。
特別值得一提的是,這樣的案例幾乎每天在民眾的日常生活中上演,根據媒體報導,有一名駭客假冒國泰世華、台新兩家銀行名義發簡訊,藉此騙取民眾銀行帳密,導致存款被盜領,短短3天就有61人受騙,損失金額高達上千萬元。
緊接著,同年11一月,類似的事件也發生在證券業,駭客用釣魚網站竊取民眾密碼進行「撞庫攻擊」,冒名購買港股等有價證券,造成多家證券業者受害,今年初各券商不得不要求客戶全面修改密碼,修補資安的大漏洞。
元大金控數位長郭美伶不諱言表示,當時劵商遭遇撞庫攻擊後就立刻確認原因,本來推測可能是劵商內部的資料庫被駭客攻破,結果不是,原因是使用者密碼設定的習慣,讓駭客有機可乘,進而勇闖劵商資訊系統。
郭美伶指出,民眾取得帳號時,通常密碼會被要求需以中英文、大小寫再搭配數字等設定強化安全,但為方便記憶,有些民眾會在不同平台上設定同一組密碼,於是駭客便抓準這點,不斷登錄網路服務,用一組帳號密碼「撞」出資安破口。
這些新型態的駭客攻擊,迫使金融產業認真看待無密碼的可行性,開始思考採用FIDO的方式,以生物辨識(臉部/指紋/靜脈)、SMS 驗證碼簡訊、輸入PIN碼等方式,註冊一把數位鑰匙(私鑰),透過這把鑰匙暢行於網站或應用程式,解決密碼不安全的問題。