科技時代的防詐思維是:如果新科技可方便用戶本身,不也等於方便了騙子嗎?
詐騙集團盜提銀行存款的案例,近來不斷爆發而震驚全國!我這個不懂Coding(電腦編程/編碼)的App白痴,曾用不必編碼的App製作網站,製作了262個App併成功上架到谷歌Play Store應用程式商店發行。
ADVERTISEMENT
藉此,僅以我非常有限的App製作知識,儘量以“如果我是騙子”的換位思考法,去梳理詐騙集團盜提存款的可能手法。
普通会员 | VIP | VVIP | |
---|---|---|---|
星洲网平台内容 | |||
星洲公开活动 | |||
礼品/优惠 | |||
会员文 | |||
VIP文 | |||
特邀活动/特级优惠 | |||
电子报(全国11份地方版) | |||
报纸 | |||
首先,要合法用互聯網銀行(網銀)服務,必須有:活躍的銀行戶頭、賬戶/用戶名(User ID)、登錄密碼(Password),還有當然是網銀系統發送到賬戶註冊手機的OTP或TAC(一次性驗證碼或交易授權碼)手機SMS短訊。這4大機密資料都在用戶的手機裡。
第二步,Android系統手機其實可以下載及安裝谷歌Play Store以外的第三方應用程式安裝包APK(以下簡稱App),惟獨必須授權准許安裝“來源不明”(Unknown sources)的App。若我是騙子,將以各種超便宜的優惠廣告,去誘導事主下載及安裝詐騙App。
第三步,手機若要能夠使用及發揮所有合格或第三方App的功能,必須授權該App操控及使用手機裡的各種相關資料和功能。據我所知,只要獲得機主授權,詐騙App其實就是一個完全取代手機原生SMS短訊App的第三方SMS短訊App。詐騙App可以接收或發送、讀取、轉發SMS短訊,手機運行詐騙App時,甚至可強制手機忽略SMS短訊,類似玩手機遊戲時以免被SMS打擾。
第四步,成功安裝詐騙App之後,事主將登錄詐騙App裡的假網銀系統以便支付。在我看來,這是一個設計得很像網銀登錄頁的SMS訊息輸入及發送頁。一旦用戶同時輸入了賬戶名和密碼,詐騙App即刻把事主輸入的資料以SMS發送到騙子的手機。注意:真的會先輸入賬戶名,經過系統顯示個人登錄關聯詞或圖像(PLP)核實後,才會要求輸入密碼。
事主輸入了資料按下Login鍵,當然登錄失敗,還誤以為網銀系統出問題。此時,騙子已經收到銀行名、賬戶名及密碼3大機密資料,就馬上用這些真實資料去登錄真實的網銀系統,並立刻啟動存款轉賬,網銀系統也及時發出OTP短訊到用戶手機,其實是發送到詐騙App裡,詐騙App收到OTP短訊隨即轉發給騙子,以便完成轉賬。由於整個過程都在詐騙App裡完成,因此,事發後,事主的手機裡沒有任何收發SMS短訊紀錄。詐騙App盜提存款的過程,大致上如上所述。
如何防止詐騙App盜提存款?當然是不要通過下載來歷不明的第三方App做交易,也不要在正統網絡零售平臺系統以外私下完成網購交易。科技時代的防詐思維是:如果新科技可方便用戶本身,不也等於方便了騙子嗎?
ADVERTISEMENT
热门新闻
百格视频
ADVERTISEMENT