(吉隆坡7日訊/獨家報導)近日銀行盜提案愈發猖獗,其中最困擾的就是為何民眾在沒有收到一次性密碼(OTP)的情況下,存款仍會被盜走;專家揭露,原因在於來曆不明的手機APK,可以攔截受害者的短訊!
民眾一經授權APK的短訊權限,這些應用程序就可以讀取甚至刪除所有短訊,因此當銀行發送OTP,不法之徒就能先行讀取OTP,並在未傳送至受害者的手機前刪除,神不知鬼不覺的就將銀行存款盜走。
一名專門開發手機App的軟件開發員在面子書公開分享民眾如何提防此類盜提,並解釋這些案件究竟是如何一步一步盜取的存款。
軟件開發員溫士豐(29歲)今早接受《中國報》訪問時指出,之所以本地華裔經常成為此類案件的受害者,原因在於華人偏愛安裝來自中國的App,但穀歌商店(Playstore)並沒有提供。
他舉例,社交媒體App如中國版微信、抖音、直播App鬥魚、快手,甚至手機遊戲王者榮耀等,都是華裔喜歡下載的App。
他透露,這些App往往只能通過APK的形式下載,並且需要打開“未知資源安裝” (Allow Install from Unknown Resources )的設定。
“這個權限一旦開啟,就等於你打開手機安全的大門,讓不法之徒有機可乘。”
溫士豐建議,若非要下載相關的App,在打開相關權限並完成下載後,記得立即關閉權限。
他說,網絡騙子一般會通過社交媒體的廣告,以特別優惠為由,誘使民眾願意下載App進行付款交易。
他解釋,不是每個App都能在手機後台運行,因此他們在得到短訊權限後,會先發送短訊確保這些App能夠與後台係統連接。
“這些App都會要求注冊新賬號,同時會要求允許短訊權限及接收短訊身份驗證,一旦確認他們就可以讀取和刪除用戶的短訊。”
溫士豐說,這時他們就會提供假的付款界面,會冒充其他銀行界面,一旦把賬號及密碼輸入就會顯示伺服器維護中的畫面,這時就已經太遲。
“一旦交出賬號密碼,他們就可以先行讀取銀行發送的OTP,再用獲得的OTP進行轉賬,而這些OTP信息會被他們刪除,基本上用戶直到檢查戶頭前,都不會發現被盜。”
他說,民眾千萬別把矛頭全指向銀行,因為這些操作都不是銀行有“內鬼”而導致的。
