盜提該怎防(2)| 警:未接獲銀行遭駭投報 網絡釣魚釣走存款
警方認為銀行客戶沒有收到一次性密碼(OTP)情況下遭轉移存款事件,是因為民眾隨意下載來歷不明的安卓應用程式包(APK)。
獨家:吳雪兒
ADVERTISEMENT
全國警察商業罪案調查部(網絡與多媒體罪案)副總監維克多高級助理總監接受《星洲日報》訪問時說,目前發生的銀行存款遭盜提事件,明顯的網絡釣魚犯罪手法,受騙者被要求安裝手機應用程式以進行付款時,不假思索就配合對方的要求,並不涉及銀行系統遭駭客入侵。
他強調,在這些銀行存款盜提案件中,警方並未接獲任何銀行指安全系統遭駭的投報。
維克多高級助理總監接受本報專訪時表示,一般上騙子是透過“網絡釣魚”方式,謊稱需要在應用程式進行支付,而發送鏈接給民眾下載安卓應用程式包(APK),民眾在進行支付時曝露網上銀行資料,讓騙子有機可乘。
隨意下載不明APK導致
因此他表示,警方認為銀行客戶沒有收到一次性密碼(OTP)情況下遭轉移存款事件,是因為民眾隨意下載來歷不明的安卓應用程式包(APK)。
“受騙者若沒有察覺而安裝有關APK後,手機短信(SMS)系統便會被該軟件攔截,當銀行系統發出線上轉賬所需要的一次性密碼到受害者的手機時,就會自動將OTP轉發給騙子。”
有關頁面其實是虛假的,他說,當受騙者輸入線上銀行賬號及密碼要進行轉賬付費時,頁面會顯示付款失敗,此時詐騙集團已掌握了受騙者的銀行戶頭資料及密碼,他們會登入受騙者的銀行戶頭,並將接受OTP的手機號碼改成騙子的手機號碼,然後以銀行轉賬的方式,將受騙者的存款轉到錢騾的戶頭。
答應授權接管設置越多 外洩資料也越多
民眾下載APK後導致手機重要資料外洩的情況有多嚴重?維克多認為,這取決於APK的權限和受騙者是否全盤交出手機的權限。
| 普通会员 | VIP |
VVIP | |
|---|---|---|---|
| 星洲网平台内容 | |||
| 星洲公开活动 | |||
| 礼品/优惠 | |||
| 会员文 | |||
| VIP文 | |||
| 特邀活动/特级优惠 | |||
| 电子报(全国11份地方版) | |||
| 报纸 | |||
“例如,民眾下載相關APK後,會被詢問是否授權有關程式接管相冊、通訊錄等等,若民眾不覺有疑而授權接管,照片及通訊錄的聯繫人號碼則會外洩。”
換言之,受騙者在安裝有關應用程式時,答應授權接管的設置越多,手機外洩的資料就越多。
另一方面,維克多說,根據警方所處理的案例顯示,一些詐騙集團會自行編寫用以盜取民眾個資的APK,也有一些是從第三方購買,然後再修改相關的界面和設置。
“截止目前,受騙者大多是安卓手機用戶,警方到目前為止,沒有接獲涉及蘋果iPhone手機的受騙者投報。”
他呼籲民眾不要隨意下載來歷不明的安卓應用程式包,免得損失慘重。
勿隨意點擊可疑網站鏈接
全國警察商業罪案調查部在官方臉書宣導防範受騙的技巧,呼籲民眾在接獲自稱來自銀行的手機信息或WhatsApp訊息時,不要隨意點擊網站鏈接或可疑的URL網址。
在向有關方面進行核實之前,民眾受促不要撥打自稱銀行職員在信息中所提供的電話號碼或熱線電話。
為了防止資料外洩,警方奉勸民眾不要透露本身線上銀行的賬號及一次性密碼,也不要下載來路不明的安卓應用程式包。
曾輸入賬號密碼才是重點 專家:回短訊不會被盜提
不小心點擊點詐騙集團提供的鏈接,或不慎回覆了短訊,銀行賬戶資料就會外洩,而導致存款被轉走?網絡上盛傳接一個電話就被盜提,但網絡安全專家強調,單是點擊鏈接或回覆短訊,是不可能導致銀行存款被轉移的。
使用惡意軟件過程洩個資
在點擊鏈接後,瀏覽器會未經用戶同意就強制下載及安裝惡意軟件,或把用戶帶到到釣魚網站,以付款名義要求用戶登錄到一個虛假網站,關鍵還是在於事主使用惡意軟件的過程中,曾輸入銀行賬號或密碼,導致這些信息通過這些軟件發給不法集團,讓他們掌握銀行資料而盜提存款。
網絡安全服務集團LGMS公司執行主席的馮宗福告訴《星洲日報》,一般上點擊鏈接可能會發生3種情況:
1. 驅動下載攻擊 – 一旦點擊,瀏覽器就會在未經用戶同意的情況下強制下載及安裝惡意軟件。
2. 彈窗要求下載惡意軟件。
3. 重定向到釣魚網站,以付款的名義要求用戶登錄到一個虛假網站,然後讓民眾輸入銀行的用戶名和密碼。
他認為,銀行存款被轉移有很多可能性,包括民眾點擊了駭客創建的虛假網站,被套取了銀行資料。
“民眾也可能不慎下載了惡意軟件,並在使用這些軟件的過程中,曾輸入本身的銀行賬號或密碼,導致這些信息通過這些軟件發給不法集團。”
木馬程式多針對企業
此外,馮宗福指出,也有一些不法集團會採用木馬程式駭入手機盜取資料,但這種方式成本較高,因此一般鎖定的目標都是企業,受騙者通常不會是個人。
他解釋,這是因為無論是開發木馬程式或僱用懂得技術的駭客接觸目標,都需要較高的成本。
但為安全起見,他提醒民眾在使用任何線上轉賬或付款功能時,切勿使用公共WiFi上網服務,避免被植入木馬程式。
銀行卡綁定支付平臺須小心
他說,有些人的上網習慣是瀏覽一些不安全的網站或下載一些可能被用以盜竊銀行資料的軟件,而成為銀行存款被非法轉移案的高風險人群。
他說,高風險人群如果將銀行卡綁定到可進行支付的平臺如電子錢包或線上訂閱服務,要非常小心。
他說,當民眾在某電子錢包綁定信用卡或銀行賬號時,如果民眾在有關電子錢包的個資外洩時,駭客可利用相關平臺轉走錢,那時受害者可能不會收到任何驗證碼。
“若有必要綁定銀行卡,我建議民眾設一個防禦性比較強的密碼,還有,不要與本身個資相關的轉賬密碼(PIN Number)。”
他提醒,如果擔心銀行存款被轉移,民眾應該避免將擁有大量存款的銀行卡與包括電子錢包在內的平臺進行綁定,而且在任何情況下,都不要將銀行發出的OTP或TAC告知任何人。
民眾有權要求銀行交代
馮宗福指出,在發現銀行存款被轉移後責怪銀行保安系統不完善是人之常情,若堅信是銀行的責任,民眾可以向銀行發起民事訴訟。
他也說,民眾絕對有權力要求銀行方面給予交代,要求銀行提供證據,證明存款被轉移是因為存戶的個人疏忽,否則當事人絕對可以入稟法庭追討損失。
他也呼籲銀行和金融機構在處理這類事件或投訴時,採取更加透明的方式,向民眾透露他們的調查結果,讓民眾能夠清楚瞭解事情的真相。
對於一些人的揣測,指民眾的銀行資料外洩或因銀行有內鬼與不法集團合作有關時,他說,無法完全排除銀行出現內鬼的情況,但是銀行本身對於內部資料是有進行加密的,這些資料不經解密是無法打開的。
根據他所瞭解,在大部分情況下,銀行資料外洩都與民眾的疏忽有關,也有小部分是因銀行外包出去的服務出現漏洞,而導致資料外洩。
要完全保障除非取消線上銀行服務
近來頻頻發生民眾申訴銀行存款在沒有收到驗證碼(OTP)的情況下被轉走,讓民眾人心惶惶,馮宗福認為,要獲得完全保障,徹底取消線上銀行服務是一個選項。
“要啟動線上銀行服務,需要銀行賬戶持有人親身到銀行辦理,取消線上銀行服務的功能後,就算個人資料外洩,不法集團也無法代為啟動線上銀行服務,也無法通過線上轉移民眾的銀行存款。”
但線上支付以及移動支付已經是大趨勢,這種做法雖然有效,但對於大多數人來說,是不可行的。
相關文章:
● 盜提該怎防(1)|老千盜提 非亂槍打鳥 一步步誘你入坑
● 盜提該怎防(3)|銀行公會:採生物特徵認證 強大安全機制 檢測詐騙
● 盜提該怎防(4)|盜提個案個案逐個看
ADVERTISEMENT
热门新闻
百格视频
ADVERTISEMENT
