博客

移动金融服务的网络安全:一个日益严重的问题

移动电话正在帮助数百万低收入客户首次获得金融服务,但它们也将他们暴露在他们从未想象过的新的网络威胁之下。几年前,我在乌干达的一个朋友——姑且叫他乔纳森吧——亲身体会到了这一点。

当乔纳森瞥了一眼他的手机,发现屏幕上写着“NO SERVICE”时,麻烦就开始了。起初,他并不担心。他的手机网络偶尔会出现故障,但几分钟后他的手机就重新连接上了网络。

乌干达拥挤的人行道
图片来源:Sarah Farhat /世界银行

然而,当天晚些时候,他试图用自己的移动账户给妻子汇款,以便她能带儿子去看医生,但转账失败了。当他查看自己的账户余额时,他发现他以为自己账户里的全部金额——超过100美元——都没了。

在移动支付普及的国家,乔纳森的遭遇正变得越来越普遍。例如,塞里亚努《2017非洲网络安全报告》据估计,基于移动交易的网络犯罪每年使非洲企业损失1.4亿美元。乔纳森到底发生了什么事?为什么这种情况越来越普遍?提供者和政策制定者能做些什么来预防它?

乔纳森的钱去哪儿了?

这部分很容易解释。一个罪犯进入了乔纳森的账户,把他所有的钱都转到了一群朋友那里,每个人可能只有10美元。在收到转账后,每个朋友都各自去中介那里套现。他们把大部分现金给了罪犯,自己留了一些。这种低层次的洗钱活动在现代犯罪环境中经常发生。

乔纳森的账户是怎么进入的?

一个更有趣的问题是罪犯一开始是怎么进入乔纳森的账户的。要实施这类犯罪,罪犯需要受害者的账户凭证。具体来说,他或她需要两个信息:受害者的移动货币账户号码(通常是手机号码)和个人密码。

要某人的手机号码相当简单。有时受害者是知名人物,或在社交媒体上分享他或她的联系方式。在另一些案例中,受害者在酒吧里把自己的电话号码给了朋友。

犯罪分子也有各种方法获取受害者的个人密码。老式的做法是站在代理商的商店里,站在顾客身后,看着他们完成交易(即肩窥)。不幸的是,许多人在输入pin码时仍然毫无防备。有些人甚至把自己的个人密码写在手机背面,这令人失望地显示出他们对这种做法的影响缺乏意识。

然而,工业级的PIN收集正在取代这些获取单个PIN的缓慢方法。有很多机会可以获得DFS账号和相关的pin码,而不需要见(甚至不知道)钱被偷的人。USSD是发展中国家最常见的移动支付服务接入形式,它没有为这些敏感凭证提供太多保护。可以通过提供者和政策制定者应该知道的多种方式收集凭证。

例如:

  • 在咖啡店使用笔记本电脑的人可以捕获所有使用附近信号塔的人的USSD会话(包括pin)。
  • 如果犯罪分子想针对特定的人群,比如在酒店参加会议的商务人士,他(她)可以架设一个假的手机发射塔,上面只有一台笔记本电脑和一部手机,看起来就像在充电一样。然后,罪犯可以欺骗每个人的手机连接到假的手机信号塔,让他或她能够访问该集团的交易。
  • 某个能够进入移动运营商网络的人——比如一个心怀不满的员工——可以将笔记本电脑连接到网络上,并在用户通过网络输入证书时悄悄记录下用户的证书。
  • 如果犯罪分子想针对特定的人(例如,高净值的个人),他们甚至可以在不在同一个国家的情况下通过笔记本电脑完成。犯罪分子通常使用USSD向受害者的手机推送一条消息,看起来像是来自他或她的DFS供应商,说因为安全问题他们需要重新输入他们的PIN。然后,他们输入的信息会直接返回给罪犯。

乔纳森的账户在袭击中是如何被使用的?

拿到乔纳森的证件只是攻击的第一步。在这种类型的犯罪中,罪犯必须使用窃取的凭证来提取他的钱。例如,通过SIM卡交换。

SIM卡交换是指手机号码从原来的SIM卡转移到新的SIM卡。这是一项重要的服务,客户可以在获得新的SIM卡后保留自己的号码和账户。不幸的是,该服务可能被滥用,在受害者不知情或不允许的情况下,将受害者的手机号码转移到新的SIM卡(导致他们的手机上出现“NO service”消息)。新的SIM卡被放置在手机中,这时犯罪分子使用捕获的PIN码进入目标的账户,将钱汇出去并进行洗钱。之后,SIM卡交换被逆转,受害者的手机恢复了生命,但钱却不见了。

供应商和政策制定者能做些什么来帮助像乔纳森这样的客户?

当乔纳森意识到不对劲的时候,他的钱早就不见了。虽然有可能追查到洗钱的人,但要把乔纳森的钱拿回来几乎是不可能的——在他的国家,乔纳森要对损失负责,而不是DFS提供商。如果服务一开始就能得到更好的保护,那就更好了。如下面的幻灯片所示,供应商和政策制定者可以采取一些简单的措施来保护其他移动金融服务用户免受网络攻击。

资源

网络会议记录:移动金融服务的网络安全>>

主题: 政策

评论

2018年11月27日提交马特(未经证实)

这是一个非常重要的帖子!谢谢你的观点,保罗。

我在缅甸工作,那里的大多数人都是第一次上网。DFS在这里还处于早期阶段,但它正在迅速发展。坦白地说,DFS提供商在让客户具备向数字世界过渡所需的读写能力方面做得不够,特别是在个人安全问题上,如pin和密码保护。我领导的一家社会企业本周发起了一项活动,结合使用娱乐动画短片来减少客户对DFS产品的怀疑,通过启发式的电子培训来建立对电子钱包安全和用例的理解,并呼吁将它们与DFServices联系起来。但是,如果供应商没有做好保护系统的工作,这一切都将受到破坏!你能否评论一下缅甸外勤部的实际情况?与USSD相比,基于智能手机的移动货币交易的安全性如何?

2018年11月29日提交Dr.V.Rengarajan(未经证实)

基于技术的服务交付模式,例如移动设备是智能的,但如何使非正式部门的用户比设备更智能?技术入侵的速度太快了,比起让罪犯在贫困地区适应,他们更容易得到帮助

2019年1月02日提交迈克尔·乔伊斯(未经证实)

感谢你的精彩和详细的帖子和桥牌——我所见过的最清晰和最全面的之一。你描述了一些可能同时应对功能手机和智能手机应用风险的控制措施。我认为运营商和DFS供应商对于SIM卡互换相关的风险还有很多可以做的(例如,在SIM卡互换后一段时间内暂时暂停移动货币交易是否明智?)或者为高DFS余额的账户引入额外的SIM swap验证?)
对于智能手机来说,还有一个额外的风险是假冒应用程序可能拦截或冒充DFS交易。这在移动银行中是一个经过验证的向量,并且肯定很快会迁移到DFS领域。

2019年1月17日提交Dr.V.Rengarajan(未经证实)

基于技术的包容性发展太快,难以为非正规部门的穷人所接受。是的。科技为普遍的罪犯提供了更多便利。当穷人习惯了最后一英里的蚀刻时,数字鸿沟和不平等差距即将到来。如果不做好被排除在外的穷人的准备工作,即使在普惠金融数字化之后,也必然会出现被排除在外的现象,或者在个人电脑中出现神秘的包容现象

添加新的注释