科技时代的防诈思维是:如果新科技可方便用户本身,不也等于方便了骗子吗?
诈骗集团盗提银行存款的案例,近来不断爆发而震惊全国!我这个不懂Coding(电脑编程/编码)的App白痴,曾用不必编码的App制作网站,制作了262个App并成功上架到谷歌Play Store应用程式商店发行。
ADVERTISEMENT
借此,仅以我非常有限的App制作知识,尽量以“如果我是骗子”的换位思考法,去梳理诈骗集团盗提存款的可能手法。
普通会员 | VIP | VVIP | |
---|---|---|---|
星洲网平台内容 | |||
星洲公开活动 | |||
礼品/优惠 | |||
会员文 | |||
VIP文 | |||
特邀活动/特级优惠 | |||
电子报(全国11份地方版) | |||
报纸 | |||
首先,要合法用互联网银行(网银)服务,必须有:活跃的银行户头、账户/用户名(User ID)、登录密码(Password),还有当然是网银系统发送到账户注册手机的OTP或TAC(一次性验证码或交易授权码)手机SMS短讯。这4大机密资料都在用户的手机里。
第二步,Android系统手机其实可以下载及安装谷歌Play Store以外的第三方应用程式安装包APK(以下简称App),惟独必须授权准许安装“来源不明”(Unknown sources)的App。若我是骗子,将以各种超便宜的优惠广告,去诱导事主下载及安装诈骗App。
第三步,手机若要能够使用及发挥所有合格或第三方App的功能,必须授权该App操控及使用手机里的各种相关资料和功能。据我所知,只要获得机主授权,诈骗App其实就是一个完全取代手机原生SMS短讯App的第三方SMS短讯App。诈骗App可以接收或发送、读取、转发SMS短讯,手机运行诈骗App时,甚至可强制手机忽略SMS短讯,类似玩手机游戏时以免被SMS打扰。
第四步,成功安装诈骗App之后,事主将登录诈骗App里的假网银系统以便支付。在我看来,这是一个设计得很像网银登录页的SMS讯息输入及发送页。一旦用户同时输入了账户名和密码,诈骗App即刻把事主输入的资料以SMS发送到骗子的手机。注意:真的会先输入账户名,经过系统显示个人登录关联词或图像(PLP)核实后,才会要求输入密码。
事主输入了资料按下Login键,当然登录失败,还误以为网银系统出问题。此时,骗子已经收到银行名、账户名及密码3大机密资料,就马上用这些真实资料去登录真实的网银系统,并立刻启动存款转账,网银系统也及时发出OTP短讯到用户手机,其实是发送到诈骗App里,诈骗App收到OTP短讯随即转发给骗子,以便完成转账。由于整个过程都在诈骗App里完成,因此,事发后,事主的手机里没有任何收发SMS短讯纪录。诈骗App盗提存款的过程,大致上如上所述。
如何防止诈骗App盗提存款?当然是不要通过下载来历不明的第三方App做交易,也不要在正统网络零售平台系统以外私下完成网购交易。科技时代的防诈思维是:如果新科技可方便用户本身,不也等于方便了骗子吗?
ADVERTISEMENT
热门新闻
百格视频
ADVERTISEMENT