“暗網”是常規搜索引擎無法找到的網站,只能用特殊軟件登錄,用戶多以匿名身份非法交易,而且無法追蹤。
英國倫敦智庫“戰略網絡空間與安全國際中心”亞太區執行副總裁張潤才說,暗網(Dark Web)像網購平台,兜售的物件包羅萬象。
他上過暗網,見過信用卡數據是整籮筐——可以是整百萬,甚至千萬個號碼組合“打包”售賣的,一些會說明號碼經過認證,也有區分不同國家的數據。
金融科技安全性不足用戶資料外泄概率大增
他說,沒有認證的號碼組合可賣少過10美元;有信貸頂限等詳細資料的可賣上100美元。
除了賣工具,暗網也有人開辦傳授破解密碼的輔導課。
他指出,公司發電腦給員工使用時,多會安裝監管設施,但GrabPay等網絡服務供應商,一般不會要求用戶在手機上安裝安全配備;用戶如果不謹慎,就可能有安全疏漏。
很多新的程序都和移動支付、網購等金融科技有關,卻沒把安全納入程序開發的策略裏,導致用戶的隱私資料泄密的概率大增。
針對被告從暗網掌握避開一次性密碼(OTP)的方法,張潤才說,一次性密碼的一般設置是限定用戶須在三分鍾至五分鍾內輸入密碼。
如果服務供應商技術做得不到位,沒有設置“三次錯誤輸入就自動上鎖”的功能,罪犯可利用電腦,在這幾分鍾快速生成大量的號碼組別,進行“強制性侵入”(brute-force attack)來破解密碼。
他指出,早在2016年,美國國家標准局(NIST)就禁用手機發的密碼短信,作爲進入政府資訊科技系統的認證工具。它要用戶改用其他更安全的管道,包括谷歌驗證器或特別的USB傳輸器。