银行存款遭盗走 开启「未知来源程序」有风险

（吉隆坡7日讯）一名手机应用程序软件开发员撰文称，有些安卓手机应用程序（ANDROID APP）用户在不知觉的情况下，遭转走银行存款，这当中除了是对方指示下载特定手机应用程序做优惠付款之外，另一个安全漏洞是因为下载了开启“未知来源程序”的中国游戏类的手机应用程序。

名为“Ah Hong VS”的手机应用程序员称，华人特别容易进入这个圈套，因为电话安全已经被打开，如果有玩“王者荣耀”、“和平精英”之类的中国游戏类型手机应用程序（APP），你就已经开启了“未知来源程序”（ALLOW INSTALL FROM UNKNOWN RESOURCES）设定。

他说，这个设定是为了防止安装到恶意软件的，但是既然打开了，那安装恶意软件APP是轻而易举的事情。

他在面子书发文提醒，安卓用户不要安装中国软件，尤其是需要下载“APK”，也不要打开“未知来源程序”（ALLOW INSTALL FROM UNKNOWN RESOURCES）的设定，如果必须打开来安装“王者荣耀”的话，记得安装后，马上关掉有关设定。

他也提醒，大家定期检查手机上的应用程序，没用的话，马上清除掉。“电子银行（E-BANKING）的认证照片要记起来没看到照片都不是真的E-BANKING PORTAL。”

他也提醒，记得去检查哪个手机应用程序有短信（SMS PERMISSION）权限使用，确保只开放这个功能给你信任的手机应用程序。

他也提醒，安卓用户只安装“PLAY STORE”上的手机应用程序，没有进“PLAY STORE”的手机应用程序不要安装。他在这篇文章只是写安卓（ANDROID APP），但他也预告，下次会写IOS程序。

另一方面，他提到，在安装有“APK”的手机应用程序后，就需要登记一个户口，这里还很清晰和正常手机应用程序再正常不过了，到了短信（SMS）身份验证（VERIFICATION）时，就会出现确认短信权限（REQUEST FOR SMS PEMISSION），否则就无法再做下一步（CONTINUE），而当授权了短信权限给APP后，有关的APP就可以阅读及删除你所收到的短信。

他说，当逛完且是时候付款时，所去到的支付网关（Payment Gateway）都是假的，不管是信用卡、FPX或银行页面的电子支付界面都是假的，无论输入什么东西都是过不到的，显示“正在维修”（UNDER MAINTANENCE），接着就指示使用另外一张银行卡，这时会有很多人继续用另外的户口及另外的卡来继续刷、继续付款，但都还是付不到。

他补充，这时，对方的客服回来安慰表示系统正在升级，请稍后再试，但重点是，这时很多时候是用户亲自把用户名称及密码（“USERNAME”及“PASSWORD”）交出去，这时就等待诈骗集团几时要动手而已。

他说，这时候有好几种方法好让他们拿到有关用户的OTP，即：并非每个APP都可以在用户电话的后台运行，因用户电话拥有省电功能把任何后台程序给终止掉，所以对方为了确认他们的APP还在你的电话后台运行，会特意传一个短信以确认他们的系统有连接的，若收到了这样的短信，马上封杀所有应用程序，并检查APP清单里都是对的APP。

他说，对方收到短信后，基本上已经确认了可以读取用户的短信，就会开始行动，登入你的账号更改你的绑定手机密码，对方不是转账，而是直接更改绑定手机的号码，一旦更改了然后获取到OTP接下来的行动，对方都不需要你的手机里的OTP来转账，而对方怎么转基本上用户都不会知道，直到检查银行户口的时候才发现。

“这时候你会怀疑，为什么没收到OTP钱就被转走了？记得一开始说的，APP已经拥有SMS PERMISSION（短信授权）来READ（阅读）和DELETE（删除），他们READ（阅读）了你的SMS（短信）直接DELETE（删除）掉，神不知鬼不觉。”

为此，他补充，对方其实只需要读取用户电话的一次更改绑定电话的OTP SMS，基本上就可以为所欲为了。

新闻来源：诗华日报，20220608