警方认为银行客户没有收到一次性密码(OTP)情况下遭转移存款事件,是因为民众随意下载来历不明的安卓应用程式包(APK)。
独家:吴雪儿
ADVERTISEMENT
全国警察商业罪案调查部(网络与多媒体罪案)副总监维克多高级助理总监接受《星洲日报》访问时说,目前发生的银行存款遭盗提事件,明显的网络钓鱼犯罪手法,受骗者被要求安装手机应用程式以进行付款时,不假思索就配合对方的要求,并不涉及银行系统遭骇客入侵。
他强调,在这些银行存款盗提案件中,警方并未接获任何银行指安全系统遭骇的投报。
维克多高级助理总监接受本报专访时表示,一般上骗子是透过“网络钓鱼”方式,谎称需要在应用程式进行支付,而发送链接给民众下载安卓应用程式包(APK),民众在进行支付时曝露网上银行资料,让骗子有机可乘。
随意下载不明APK导致
因此他表示,警方认为银行客户没有收到一次性密码(OTP)情况下遭转移存款事件,是因为民众随意下载来历不明的安卓应用程式包(APK)。
“受骗者若没有察觉而安装有关APK后,手机短信(SMS)系统便会被该软件拦截,当银行系统发出线上转账所需要的一次性密码到受害者的手机时,就会自动将OTP转发给骗子。”
有关页面其实是虚假的,他说,当受骗者输入线上银行账号及密码要进行转账付费时,页面会显示付款失败,此时诈骗集团已掌握了受骗者的银行户头资料及密码,他们会登入受骗者的银行户头,并将接受OTP的手机号码改成骗子的手机号码,然后以银行转账的方式,将受骗者的存款转到钱骡的户头。
答应授权接管设置越多 外泄资料也越多
民众下载APK后导致手机重要资料外泄的情况有多严重?维克多认为,这取决于APK的权限和受骗者是否全盘交出手机的权限。
普通会员 | VIP | VVIP | |
---|---|---|---|
星洲网平台内容 | |||
星洲公开活动 | |||
礼品/优惠 | |||
会员文 | |||
VIP文 | |||
特邀活动/特级优惠 | |||
电子报(全国11份地方版) | |||
报纸 | |||
“例如,民众下载相关APK后,会被询问是否授权有关程式接管相册、通讯录等等,若民众不觉有疑而授权接管,照片及通讯录的联系人号码则会外泄。”
换言之,受骗者在安装有关应用程式时,答应授权接管的设置越多,手机外泄的资料就越多。
另一方面,维克多说,根据警方所处理的案例显示,一些诈骗集团会自行编写用以盗取民众个资的APK,也有一些是从第三方购买,然后再修改相关的界面和设置。
“截止目前,受骗者大多是安卓手机用户,警方到目前为止,没有接获涉及苹果iPhone手机的受骗者投报。”
他呼吁民众不要随意下载来历不明的安卓应用程式包,免得损失惨重。
勿随意点击可疑网站链接
全国警察商业罪案调查部在官方脸书宣导防范受骗的技巧,呼吁民众在接获自称来自银行的手机信息或WhatsApp讯息时,不要随意点击网站链接或可疑的URL网址。
在向有关方面进行核实之前,民众受促不要拨打自称银行职员在信息中所提供的电话号码或热线电话。
为了防止资料外泄,警方奉劝民众不要透露本身线上银行的账号及一次性密码,也不要下载来路不明的安卓应用程式包。
曾输入账号密码才是重点 专家:回短讯不会被盗提
不小心点击点诈骗集团提供的链接,或不慎回复了短讯,银行账户资料就会外泄,而导致存款被转走?网络上盛传接一个电话就被盗提,但网络安全专家强调,单是点击链接或回复短讯,是不可能导致银行存款被转移的。
使用恶意软件过程泄个资
在点击链接后,浏览器会未经用户同意就强制下载及安装恶意软件,或把用户带到到钓鱼网站,以付款名义要求用户登录到一个虚假网站,关键还是在于事主使用恶意软件的过程中,曾输入银行账号或密码,导致这些信息通过这些软件发给不法集团,让他们掌握银行资料而盗提存款。
网络安全服务集团LGMS公司执行主席的冯宗福告诉《星洲日报》,一般上点击链接可能会发生3种情况:
1. 驱动下载攻击 – 一旦点击,浏览器就会在未经用户同意的情况下强制下载及安装恶意软件。
2. 弹窗要求下载恶意软件。
3. 重定向到钓鱼网站,以付款的名义要求用户登录到一个虚假网站,然后让民众输入银行的用户名和密码。
他认为,银行存款被转移有很多可能性,包括民众点击了骇客创建的虚假网站,被套取了银行资料。
“民众也可能不慎下载了恶意软件,并在使用这些软件的过程中,曾输入本身的银行账号或密码,导致这些信息通过这些软件发给不法集团。”
木马程式多针对企业
此外,冯宗福指出,也有一些不法集团会采用木马程式骇入手机盗取资料,但这种方式成本较高,因此一般锁定的目标都是企业,受骗者通常不会是个人。
他解释,这是因为无论是开发木马程式或雇用懂得技术的骇客接触目标,都需要较高的成本。
但为安全起见,他提醒民众在使用任何线上转账或付款功能时,切勿使用公共WiFi上网服务,避免被植入木马程式。
银行卡绑定支付平台须小心
他说,有些人的上网习惯是浏览一些不安全的网站或下载一些可能被用以盗窃银行资料的软件,而成为银行存款被非法转移案的高风险人群。
他说,高风险人群如果将银行卡绑定到可进行支付的平台如电子钱包或线上订阅服务,要非常小心。
他说,当民众在某电子钱包绑定信用卡或银行账号时,如果民众在有关电子钱包的个资外泄时,骇客可利用相关平台转走钱,那时受害者可能不会收到任何验证码。
“若有必要绑定银行卡,我建议民众设一个防御性比较强的密码,还有,不要与本身个资相关的转账密码(PIN Number)。”
他提醒,如果担心银行存款被转移,民众应该避免将拥有大量存款的银行卡与包括电子钱包在内的平台进行绑定,而且在任何情况下,都不要将银行发出的OTP或TAC告知任何人。
民众有权要求银行交代
冯宗福指出,在发现银行存款被转移后责怪银行保安系统不完善是人之常情,若坚信是银行的责任,民众可以向银行发起民事诉讼。
他也说,民众绝对有权力要求银行方面给予交代,要求银行提供证据,证明存款被转移是因为存户的个人疏忽,否则当事人绝对可以入禀法庭追讨损失。
他也呼吁银行和金融机构在处理这类事件或投诉时,采取更加透明的方式,向民众透露他们的调查结果,让民众能够清楚了解事情的真相。
对于一些人的揣测,指民众的银行资料外泄或因银行有内鬼与不法集团合作有关时,他说,无法完全排除银行出现内鬼的情况,但是银行本身对于内部资料是有进行加密的,这些资料不经解密是无法打开的。
根据他所了解,在大部分情况下,银行资料外泄都与民众的疏忽有关,也有小部分是因银行外包出去的服务出现漏洞,而导致资料外泄。
要完全保障除非取消线上银行服务
近来频频发生民众申诉银行存款在没有收到验证码(OTP)的情况下被转走,让民众人心惶惶,冯宗福认为,要获得完全保障,彻底取消线上银行服务是一个选项。
“要启动线上银行服务,需要银行账户持有人亲身到银行办理,取消线上银行服务的功能后,就算个人资料外泄,不法集团也无法代为启动线上银行服务,也无法通过线上转移民众的银行存款。”
但线上支付以及移动支付已经是大趋势,这种做法虽然有效,但对于大多数人来说,是不可行的。
相关文章:
● 盗提该怎防(1)|老千盗提 非乱枪打鸟 一步步诱你入坑
● 盗提该怎防(3)|银行公会:采生物特征认证 强大安全机制 检测诈骗
● 盗提该怎防(4)|盗提个案个案逐个看
ADVERTISEMENT
热门新闻
百格视频
ADVERTISEMENT