【科技Talk】小心陌生來電 錢財隨時被駭客“釣”走
坊間接二連三出現盜款事件,弄得市民人心惶惶,擔心銀行戶口的錢財會隨時“不翼而飛”。面對網絡犯罪日益猖獗,大馬交易所和豐隆投資銀行(HLIB)日前攜手舉辦題為《在數碼經濟世界如何應對網絡威脅》的網絡安全座談,邀請多位專家分享觀點,從不同的面向去降低網絡攻擊風險。
報道:本刊 陳星彤、林德成
攝影:本報 陳啟基
ADVERTISEMENT
根據“馬來西亞網絡安全策略(MCSS)”釋出2020至2024年的報告,大馬有可能因網絡攻擊損失高達510億令吉。截至今天,個資外洩的爭議不曾停止,而為了竊取民眾資料,駭客冒充軍警詐騙、攔截銀行轉賬通知,層出不窮的網絡攻擊手法,讓大眾防不勝防。
LGMS創辦人兼網絡安全專家馮宗福提醒大眾,若收到陌生來電時必須保持警惕,即便對方掌握了民眾的個人資料,言辭具說服力,但未必是他的真實身分。馮宗福稱:“打電話的人可以說是警察或稅務人員,雖然他們可以說出你的地址和身分證號碼,但有可能是罪犯偽裝的。”他提醒,大眾個資無可避免地洩露,任誰都會不小心誤入網絡釣魚騙局中。
透過研究惡意程式,其團隊也發現駭客越來越“聰明”。馮宗福以網絡銀行為例,早前惡意程式只能讀取用戶名稱、密碼或簡訊,如今“進化”成有攔截或刪除簡訊的功能。這也是為何受害者投訴,不曾收到銀行發送一次性密碼(OTP)和轉賬驗證碼(TAC)短訊,在毫不知情的情況下儲蓄被轉走。他解釋道:“其實用戶確實收到短訊,只不過被惡意程式(Malware)中途攔截了。”
駭客如何一步步靠近?
馮宗福表示,雖然大多受害者喊冤,聲稱沒有下載陌生應用程式。惟他強調,你我身旁不乏讓駭客有機可乘的機會,比方說一些免費的網絡熱點也許是假冒的。“你到了公共場所要用免費Wi-Fi(網絡),或許這就是惡意程式(入侵)的機會。”
透過點擊假冒的網絡熱點,駭客可以取得賬戶的名字和密碼。不過,這還不足以讓他們伸手到用戶的儲蓄戶頭。因此,民眾在登入網絡熱點後,駭客會要求他們下載手機應用程式。馮宗福解釋:“舉例來說,惡意程式會檢測到你是安卓用戶,要你下載APK(安卓應用程式的安裝包),否則不給你用網絡。”
下載APK後,大多用戶沒細讀“條款及條件”便點擊同意,殊不知卻為惡意程式開了方便之門。這時,一旦用戶做任何銀行網上交易,惡意程式可以立即讀取銀行送來的OTP。馮宗福強調,在眾多銀行儲蓄被轉走的案件中,不曾查出是因銀行網絡安全漏洞所致。“在調查惡意程式如何觸及受害者的過程中,我們發現都是用戶下載了不當的應用程式所致。”
“經手人”太多 增加調查難度
不少受害者投訴銀行和警方辦案時間太長,豐隆銀行集團董事經理兼總執行長多米尼.富達(Domenic Fuda)不諱言,類似詐騙案具一定的複雜度,在處理上確實會花一段時間。為了檢查受害者的手機是否裝有惡意軟體,銀行會特別要求受害者提供手機,以進行數位鑑識。
“試想想,若要提供手機給網絡安全公司作數位鑑識,必定會耗上一定的時間。”惟他強調,即便未有確鑿的調查結果,銀行方也會趕在3個工作日內,告訴受害者最新進展。
至於可否直接從銀行系統查看被轉走金額的流向,富達坦言不可能。他就過往的案件說明,詐騙分子善於偽裝,多重身分抹去了數位足跡,“受害者被騙走的儲蓄或許轉入A銀行、再去B、C銀行或更多,一旦取出現金後更難追蹤。”
強調銀行網絡安全防備充足 惟消費者必須保持警惕
為了打擊網絡犯罪,豐隆銀行成立了Red Team等網絡安全團隊。富達稱,單靠銀行的努力,是不足應付日益“進化”的網絡犯罪分子,還需要消費者配合。
他舉例,許多受害者誤入網絡犯罪分子圈套,不慎登入與真網站外觀和名字相似的虛假網站。富達勸大眾,在使用銀行線上轉賬等服務前,再三確認個人圖像(Profile Image)和安全短語(Security Phase)是否正確。
此外,豐隆銀行陸續推出一系列的網絡安全措施,包含目前已取消短訊發送驗證碼服務。未來,該銀行也會有“冷靜期”(cooling-off)步驟,“申請轉賬的用戶,有或許一天的冷靜期,才決定是否真的要轉這筆錢。”民眾有充裕時間判斷是否落入了網絡犯罪的圈套。富達補充:“消費者在做任何行動前,都必須先警惕(Awas)、然後思考(Fikir),再判斷是否要喊停(Blok)。”
“在網購或使用線上銀行服務時,花幾秒鐘看一看網站標誌、banner等是不是正確的,辨認網站真偽。”如今,銀行加強了網絡安全舉措,間接也會讓線上服務不像以往這麼迅速。但他認為這是為了保障用戶的利益,而必須採取的措施,“最重要是確保交易安全。”
詐騙分子永不用真實身分
武吉阿曼商業罪案調查部(CCID)助理警監莫哈末立端(ASP Mohd Riduan bin Abd Majid)在網絡和多媒體犯罪調查小組已有14年經驗。他坦言,現在的科技發展越來越複雜。在調查時,警方需要多方的協助,像是銀行、電信公司、大馬通訊及多媒體委員會(MCMC)、大馬網絡安全機構和科技公司的技術支援。
回顧2008至2010年,如果發生詐騙事件,警方很容易取證,可以去呼叫中心(call center)收集資料。可是,在數碼時代,詐騙分子會利用雲端技術躲過危機,然後採用特定的安全措施,又與外界合作,有層層疊疊的關卡防護,令到警方很難突破。
需知詐騙分子永遠是不會暴露自己的真實身分,他說,詐騙集團會使用互聯網電話服務(VoIP),冒充銀行、警方、移民局單位的電話號碼,讓民眾墮入騙局,短短几分鐘內痛失錢財。因此,警方會和互聯網服務供應商(ISP)緊密聯繫,請求他們確認詐騙集團的位置或IP地址,然後實施各種封鎖,不讓他們繼續行騙。
除了VoIP,他們還會用VPN、代理服務器(Proxy Server)隱藏網絡“足跡”。由於這些VPN服務商不是本地公司,警方需要向這些外國服務商索取資料。可是,這些VPN服務商是會為用戶的隱私權捍衛到底,他們未必願意和執法單位合作。
遭勒索,不要交贖金
與此同時,犯罪集團會用不同的域名(Domain)在網絡撒網“釣魚” 。當警方阻斷一個域名,另一邊廂又會冒出一個新的域名。“他們其實已經預先準備了上百個域名,所以你們會不斷接收到釣魚(郵件)。”對此,警方提醒民眾點開網頁時,即使網頁界面設計沒有任何可疑,也不要完全鬆懈。先確認網址拼寫是否正確無誤,接著網址前面是否有“https”,因為“https”是指經過加密和驗證的安全鏈接。
既然警方有網絡和多媒體犯罪調查小組,犯罪集團也懂得反警方追蹤和取證。當警方充公他們的電腦,未必找到證據,有時會一無所獲。當談及令人聞風喪膽的勒索病毒,莫哈末立端聲稱,警方不鼓勵受害者支付贖金。一般上,駭客會抓住受害者的害怕心理,設下時限,要求對方迅速支付一筆龐大贖金,不然會公開手上的機密資料。然而,這可能是陷阱。即使繳付贖金,對方未必會解除病毒危機,反而會不停要更多贖金。
網購欺詐案最嚴重
根據莫哈末立端展示的數據,從2019年至2022年,我國民眾遭遇了很多網購相關的欺騙案。在2019年,警方接獲3512宗投報,受害者損失大約2804萬1146令吉;2020年則增加至5850宗,損失金額約4165萬1705令吉。2021年最為嚴峻,或許是行動管制令緣故,許多人居家辦公和網購商品,結果不慎掉入網購欺詐陷阱。那年一共有9602宗投報,損失高達7445萬2045令吉;而在2022年雖然有回落,一共有8018宗投報,但損失金額卻高達1億1484萬6974令吉。
“這些詐騙分子會在社交媒體打虛假廣告,比如臉書、IG、WhatsApp和其他的平臺。民眾相信這些廣告,然後就點擊下單。當他們下單付款,這些款項會匯入到錢騾(money mule)的戶頭。我們逮捕了這些錢騾,就會控上法庭。”
他說,現在犯罪分子在網上容易獲取駭客工具,只要搜索就會找到相關資料和教程。民眾上網時必須時刻保持警惕,保護好自己的個人資料。
(原稿上傳於29/12/2022)
相關稿件: 【科技Talk】當詐騙犯真好賺 NFT詐騙一年損失逾億美元 【科技簡訊】澳洲推出反SMS詐騙條例 要求電訊公司攔截騙徒
ADVERTISEMENT
热门新闻
百格视频
ADVERTISEMENT
