七月 – 网络银行盗提,你是否是下一个?

马来西亚近日频频发生银行存款被盗提案件,导致民众人心惶惶,这也成为时下民众关心和热议的课题之一。
新闻案例1:一名男子的两个不同银行户头,在同一天各出现3次非法转账。男事主没有收到短讯通知,10天后检查银行户头余额时,才惊觉已痛失高达4万6100令吉。 (星洲日报,20220609)
新闻案例2:一名商人起床查看手机短讯时,惊觉公司的银行户头被盗取10万令吉,不法之徒分24次转账,大部分款项转入Touch ‘n Go和电子钱包。受害者喜欢网购,在事件发生前,在手机共下载15个应用程式。(星洲日报,20220610)

        除了以上的新闻案例外,也有受害者称,即便没下载任何来源不明的应用程序,也没有接到银行传来的一次性过账密码,都遭到网络银行盗提。因此有者便批评是大马的银行保安系统出现漏洞,但我国警方指出,银行存款被盗提的缺口,多数在受害者身上。

         透过这期的文章,要带您来了解银行户头在怎样的情况下被盗?又如何避免掉入诈骗陷阱,以及正确的处理方式。

A. 银行户头在怎样的情况下被盗?

         一名银行职员表示,诈骗手法层出不穷,如果存款从银行持有人的户头转出去,大部分是客户不小心泄露本身的用户名和密码。其中一个最常见的网络诈骗手法是网络购物骗案。买家看上物美价廉的广告后,就会被假卖家要求下载安装来历不明的APK

什么是APK

    1. APK全称为Android Application Package,即安卓应用程式安装包,仅适用于安卓系统的三星(Samsung)、小米、OPPO及华为等智能手机。
    2. 使用自家iOS系统的苹果智能手机(Apple iPhone)不支持安装包,因此该品牌系列手机原厂就杜绝这等风险,安全机制相对高一些。

        在安装有APK的手机应用程序后,手机会被置入木马程式,之后假卖家会要求买家登录应用程式注册账号,以享有优惠。到了短信身份验证时,就会出现短信权限(Request For SMS Permission),当授权了短信权限给APP后,有关的APP就可以阅读及删除你所收到的短信。受害者就在那个程式里登入一个与银行户头相似的假界面,再输入用户名和密码。假界面少了安全短语(Security Phrase)或登录图片,也不是银行的链接。之后程式显示付款失败或正在维修等字样,受害者怀疑是银行系统出了问题,而转用另一个银行户头,这就让让老千掌握了2个银行户头的资料。老千用受害者提供的用户名和密码转钱到钱骡户头,他们可以读取受害者的手机信息,看完短信之后再删除。

         另外,一旦你安装有APK的手机应用程序,同时也一定会被开启“未知来源程式”(Allow Install From Unknown Resources的设定。如果有玩“王者荣耀”、“和平精英”之类的中国游戏类型手机应用程序,你就已经开启了“未知来源程序”设定。这个设定是为了防止安装到恶意软件,但既然打开了,那安装恶意软件APP是轻而易举的事情。如果必须打开来安装“王者荣耀”的话,记得安装后,就要马上关掉有关设定。

以下是教你如何关掉已开启的“未知来源程式”

Play Video

         一名手机应用程序软件开发员在脸书发文表示,有好几种方法可以让钱骡拿到有关用户的OTP,即:并非每个APP都可以在用户电话的后台运行,因用户电话拥有省电功能把任何后台程序给终止掉,所以对方为了确认他们的APP还在你的电话后台运行,会特意传一封短信以确认他们的系统有连接,若收到了这样的短信,就当马上封杀所有应用程序,并检查APP清单里都是安全的APP。

        对方收到短信后,基本上已经确认了可以读取用户的短信,就会开始行动,登入你的账号更改你绑定的手机号码,对方不是转账,而是直接更改绑定的手机号码,一旦更改就能获取OTP。接下来对方不需要获取你手机里的OTP来转账,而用户基本上也不会知道自己的存款被盗提,直到检查银行户口时才会发现。

        这时候你会怀疑“为什么没收到OTP钱就被转走了?”记得一开始说的,APP已经拥有短信授权(SMS PERMISSION)来读取和删除,他们可以直接阅读你的短信,然后再神不知鬼不觉地删除。

B. 如何辨别有问题的APK?

  • 商家私信链接,要求下载和装上他们的APK档案时,这就是第一个红色警讯:正规商家不会发不明软件下载链接给买家。
  • 要是商家的软件并没在谷歌Play Store或华为应用市场上架,这也是红色警讯。商家的软件很可疑,很大机率是木马程式。
  • 要是安装商家的APK档案,必须通过他们的软件付款也是个红色警讯。千万不要通过他们的软件付款,因为银行界面都是假的。

C. 如何避免掉入诈骗陷阱?

  1. 不要随意下载Google Play Store或App Store以外的APK。
  2. 需不时检查智慧型手机的安全设定是否开启了“允许安装未知来源程序”。
  3. 不要将所有积蓄只存放在单一银行账户。
  4. 不同的银行账户,建议使用不同的银行密码。
  5. 在进行转账交易时,不要使用公共免费无线网络。

D. 不小心下载APK后要如何正确处理

  1. 要是不小心安装了商家APK档案的话,谨记千万不要用手机登录银行账户,赶紧把这个软件卸载和删除掉。
  2. 检查是否开启了“允许安装未知来源程序”。
  3. 马上通知银行。
  4. 马上用其他手机或电脑更新自己的密码。
  5. 下载APK安装包后,该应用程式若提出不合理的权限,用户就该小心提防。
  6. 该应用程序要求授权读取简讯内容,通讯录或者定位(GPS),但是这些权限与该应用程序并没有直接关联,那么用户必须加倍留意。

D. 不小心下载APK后要如何正确处理

  1. 请立即通知银行。
  2. 联络商业犯罪调查局(CCID)呼叫中心,电话拨打03-26101559/1599或国行热线1-300-88-5465。

资料来源:星洲日报,20220610;东方日报《APK诈骗法》,20220510

error: