星洲网
星洲网
星洲网 登入
Newsletter|星洲网 Newsletter 联络我们|星洲网 联络我们 登广告|星洲网 登广告 关于我们|星洲网 关于我们 活动|星洲网 活动

ADVERTISEMENT

ADVERTISEMENT

星洲人

|

会员文

|
发布: 1:00pm 14/06/2022

李昱龙

盗提存款

李昱龙

盗提存款

李昱龍|不懂Coding也可盜提存款?

科技時代的防詐思維是:如果新科技可方便用戶本身,不也等於方便了騙子嗎?

詐騙集團盜提銀行存款的案例,近來不斷爆發而震驚全國!我這個不懂Coding(電腦編程/編碼)的App白痴,曾用不必編碼的App製作網站,製作了262個App併成功上架到谷歌Play Store應用程式商店發行。

ADVERTISEMENT

藉此,僅以我非常有限的App製作知識,儘量以“如果我是騙子”的換位思考法,去梳理詐騙集團盜提存款的可能手法。

首先,要合法用互聯網銀行(網銀)服務,必須有:活躍的銀行戶頭、賬戶/用戶名(User ID)、登錄密碼(Password),還有當然是網銀系統發送到賬戶註冊手機的OTP或TAC(一次性驗證碼或交易授權碼)手機SMS短訊。這4大機密資料都在用戶的手機裡。

第二步,Android系統手機其實可以下載及安裝谷歌Play Store以外的第三方應用程式安裝包APK(以下簡稱App),惟獨必須授權准許安裝“來源不明”(Unknown sources)的App。若我是騙子,將以各種超便宜的優惠廣告,去誘導事主下載及安裝詐騙App。

第三步,手機若要能夠使用及發揮所有合格或第三方App的功能,必須授權該App操控及使用手機裡的各種相關資料和功能。據我所知,只要獲得機主授權,詐騙App其實就是一個完全取代手機原生SMS短訊App的第三方SMS短訊App。詐騙App可以接收或發送、讀取、轉發SMS短訊,手機運行詐騙App時,甚至可強制手機忽略SMS短訊,類似玩手機遊戲時以免被SMS打擾。

第四步,成功安裝詐騙App之後,事主將登錄詐騙App裡的假網銀系統以便支付。在我看來,這是一個設計得很像網銀登錄頁的SMS訊息輸入及發送頁。一旦用戶同時輸入了賬戶名和密碼,詐騙App即刻把事主輸入的資料以SMS發送到騙子的手機。注意:真的會先輸入賬戶名,經過系統顯示個人登錄關聯詞或圖像(PLP)核實後,才會要求輸入密碼。

事主輸入了資料按下Login鍵,當然登錄失敗,還誤以為網銀系統出問題。此時,騙子已經收到銀行名、賬戶名及密碼3大機密資料,就馬上用這些真實資料去登錄真實的網銀系統,並立刻啟動存款轉賬,網銀系統也及時發出OTP短訊到用戶手機,其實是發送到詐騙App裡,詐騙App收到OTP短訊隨即轉發給騙子,以便完成轉賬。由於整個過程都在詐騙App裡完成,因此,事發後,事主的手機裡沒有任何收發SMS短訊紀錄。詐騙App盜提存款的過程,大致上如上所述。

如何防止詐騙App盜提存款?當然是不要通過下載來歷不明的第三方App做交易,也不要在正統網絡零售平臺系統以外私下完成網購交易。科技時代的防詐思維是:如果新科技可方便用戶本身,不也等於方便了騙子嗎?

ADVERTISEMENT

热门新闻

百格视频

你也可能感兴趣
 

ADVERTISEMENT

点击 可阅读下一则新闻

ADVERTISEMENT