網銀被盜轉26萬:駭客怎麼操控我們的手機?有什麼簡易自保之道?

我們想讓你知道的是
到底駭客是怎麼入侵我們手機的?蘋果手機確實比較安全嗎?入侵之後駭客怎麼操控我們的手機?網銀轉帳功能真的得關掉嗎?有什麼簡易自保之道?
一名女子在臉書社團《爆料公社》抱怨,開通國泰網銀功能,並在iPhone上使用後,10天內被駭客盜轉26萬元。除此之外,她還加碼爆料,她閨密的客戶也發生類似事件,盜轉金額合計超過100萬。最後,她認為不只一家銀行出問題,並呼籲大家把網銀轉帳功能關掉。
國泰立即發出聲明:「全面檢視網銀App系統均運作正常,並無駭客入侵情事」,玉山則表示「並未接獲顧客反應遭盜轉70萬情事,已於官方網站及網路銀行公告提醒顧客防範類似惡意行為。」
到底駭客是怎麼入侵我們手機的?蘋果手機確實比較安全嗎?入侵之後駭客怎麼操控我們的手機?網銀轉帳功能真的得關掉嗎?有什麼簡易自保之道?
這一切得從特洛伊木馬說起。
惡名昭彰的木馬程式(Trojan)
高中時,同學B自視甚高,常常在我跟另一位S同學面前誇耀自己家世多好、多少女生倒追他、根本沒花時間念書(但考試成績總是名列前茅)等等。我除了微笑傾聽,也沒別的辦法,但S可不是吃素的。某天,S邀我去他家玩,他打開了電腦,在鍵盤上輸入幾個字、點了幾下滑鼠,螢幕上居然出現了B的電腦桌面!
「B追女生只有一招,就是到處告白,根本亂槍打鳥!而且所有女生都拒絕他了,哪有人倒追。」S一邊點開B的電子郵件跟通訊軟體,一邊嘲笑地跟我解釋信件跟對話內容。
許多年以後,我才知道被放到B電腦內、用來回傳各種資料與畫面的軟體,正是大名鼎鼎的「木馬程式」。
我怎麼會傻到安裝木馬?
因為你不知道它是。
木馬之所以能屠城,是因為特洛伊人被希臘聯軍設計,傻傻把它拉進城內,然後被藏伏在內的士兵殺得片甲不留;木馬程式之所以能攻下電腦或手機,是因為你我被駭客設計,以為是正常程式,傻傻安裝了它,讓駭客遠端即可操控,恣意擷取他想要的任何資料。
駭客誘騙手法千奇百怪,他們會透過電子郵件、電話簡訊、即時通訊軟體、惡意廣告、被入侵的合法網站等為管道,直接給你惡意程式,或是附上網址後要你下載,說是天羅地網也不為過。
而你願意自投羅網,是因為駭客總能掌握人性的弱點與最新的潮流。近期流行的「商品已到貨」簡訊,不就是利用網購普及的趨勢,以及人們購物後期待開箱的興奮嗎?
以趨勢科技的Xloader研究報告為例,Android使用者連結到惡意網址後,會被要求下載名為「Chrome.apk」、假裝是Chrome瀏覽器,但實際上是木馬程式的檔案。使用者一旦「忽略」Android警告,硬要安裝這個來源不明的程式,那麼木馬程式就成功植入了。
木馬植入後,駭客可以作的事情不勝枚舉。他可以竊取重要的個人資料、聯絡人、照片、文件,也可以為了竊取帳號密碼自動打開釣魚網頁;甚至還能攔截簡訊、假借名義發送釣魚簡訊、錄下通話內容等。

卡巴斯基針對另一木馬Ghimob的研究中,還發現它專門鎖定巴西100多種銀行、金融科技、加密貨幣等程式,一旦發現使用者打開銀行網站或程式,即會跳出幾乎與官網一樣的釣魚網頁,騙取使用者網銀的帳號密碼,非常強悍。
那iPhone使用者可以安心了吧?
不行,因為如Xloader的木馬程式總會一再進化。
新版Xloader開始攻擊iOS,使用者一旦不小心安裝惡意的設定描述檔(Configuration Profile),釣魚網站隨即自動開啟,騙你輸入Apple ID與密碼。
駭客拿到Apple ID與密碼後,可做的事情也不少。他可以看到你儲存在iCloud的照片或文件、購買APP或遊戲道具,甚至安裝一些假憑證,好讓未來瀏覽假網站時瀏覽器不會發出警告。

不過,相較Android來說,駭客要在iOS植入木馬,並且實現如Android上的完整控制功能,確實稍微困難一點。
所以,新聞的真相是什麼?
合理推測有以下幾個可能(以個人認為的可能性降冪排序):
- 身分證字號、電郵、密碼等資料早已外洩,而網銀的用戶代號與密碼,恰巧設定跟暗網外流的幾組帳密相同,被駭客嘗試登入成功,並使用非約定轉帳每天轉走五萬。網銀APP沒有通知款項被轉走,不一定是駭客攔截簡訊或軟體通知,因為手機可以設定要不要顯示通知。
- 熟人得知她的個資及帳密,直接登入把錢轉走。
- 手機越獄,安裝了包裝成追劇、免費音樂或電影的非官方合法程式,因此後門大開,潛伏多時竊取到身分證字號與網銀帳密。
- 手機未越獄,但下載了惡意的設定描述檔,Apple ID被盜,存放在iCloud中的文件或照片,剛好有身分證照片以及網銀帳號密碼。
民眾如何自保?
新聞苦主或是警方呼籲「關掉轉帳功能」或「將轉帳上限調低」保護措施,非常不食人間煙火,也不是解決問題的好方法。
申請網銀安裝App,目的就是希望不用拿著提款卡跑ATM,或甚至到銀行抽號碼牌排隊呀!因為幾個資安意識不夠的個案,而勸大家不用網銀轉帳,完美詮釋了何為「因噎廢食」。
如前面分析,只要「不主動安裝」,駭客是很難入侵手機的。因此,不隨便點連結網址、不安裝來源不明軟體,即可大幅減少遭遇惡意程式的機會,若能定期更新作業系統與App,並安裝防毒軟體,要被入侵還真的沒那麼容易。
- 若想了解更多,歡迎前往我的部落格破弊修練手冊
責任編輯:朱家儀
核稿編輯:翁世航
南投10大農遊體驗──上篇

我們想讓你知道的是
近年來,台灣行政院農業委員會仿效日本推行「農業六級產業化」,南投許多農業區發展為休閒農業區,將農村景觀、農業文創、食農教育與環境教育概念等元素融入,營造民眾休閒農業旅遊與體驗學習活動的場域。
台灣行政院農業委員會仿效日本,結合一級農業生產、二級農產品加工、三級農業體驗和服務,推行「農業六級產業化」,其發展的休閒農業區將在地生產、農村景觀、農業文化創意、食農教育與環境教育概念等元素融入區內,營造農業主題特色,開發商品,同時提升產業服務質量及充實友善旅遊環境,成為民眾休閒農業旅遊與體驗學習活動的場域。
近年來,南投許多農業區推出農業體驗活動,透過寓教於樂的方式讓遊客體驗農作的樂趣!
以下精選10大南投農業體驗活動:
1. 埔里鎮──桃米休閒農業區
「桃米休閒農業區」位於埔里鎮桃米里,區內有桃米坑溪及其五條支流貫穿其間,依山傍水、綠意盎然,孕育著豐富美麗的生態資源與純樸農村樣貌。921震後,區內民眾攜手重建,結合地方生態、農業資源與觀光產業,打造國內最具特色魅力的休閒農業區──桃米生態村。
◎ 建議行程:桃米魚蝦體驗→桃米野餐→農事體驗→夜間賞蛙
◎ 體驗活動:農事體驗、夜間賞蛙、桃米魚蝦體驗、桃米野餐、桃米遠足、黃金青蛙粿DIY、紙燈DIY、賞螢
◎ 嚐鮮特選:茭白筍(2-10月)、麻竹筍(6-10月)、百香果(7-2月)、樹葡萄(12-5月)、香菇(全年)
◎ 伴手好禮:樹葡萄產品、百香果產品、茭白筍產品
地址:南投縣埔里鎮桃米巷64之4號
2. 魚池鄉──日月潭日月山莊休閒農場
台灣香日月潭紅茶廠以高品質紅茶聞名,成立新品牌HOHOCHA喝喝茶,將茶葉與文創、觀光結合的園區,還有日月潭日月山莊休閒農場及觀光茶園,成為日月潭熱門景點。
◎ 建議行程:揉茶體驗→混茶體驗→封茶體驗→品茶體驗→紅茶披薩DIY
◎ 體驗活動:奉茶體驗、揉茶體驗、混茶體驗、封茶體驗、導覽園區、紅茶披薩DIY
◎ 嚐鮮特選:紅玉紅茶(5-10月)、阿薩姆紅茶(4-10月)
◎ 伴手好禮:日月潭紅茶禮盒、紅茶梅、阿薩姆紅茶禮盒
地址:南投縣魚池鄉魚池村魚池街443之36號
3. 鹿谷鄉──武岫休閒農場
「武岫休閒農場」位於南投縣鹿谷鄉,在鹿谷擁有專屬茶園及10公頃的孟宗竹林。近年來集合國內產、官、學精進製窯燒炭技術,以提供高品質的孟宗竹炭原料及相關製品為最主。農場結合自然景觀、生態環境及竹產業文化,並提供竹炭製程導覽及當地特色美食、幸福手作DIY、竹林茶席、竹林生態步道等,希望能讓來到這裡的遊客,都能對「孟宗竹」以及其豐富的生活應用有更深一層的了解。
◎ 建議行程:竹林生態導覽→茶席體驗→參觀竹炭製程→竹炭DIY→品嘗竹炭鮮筍火鍋和竹炭咖啡
◎ 體驗活動:竹炭包製作、竹炭枕頭體驗、竹炭過濾體驗
◎ 嚐鮮特選:武岫咖啡、武岫竹炭花茶、果汁、點心、鮮筍小火鍋
◎ 伴手好禮:武岫竹炭50公克/盒、孟宗竹醋原液(500ml)、竹醋護膚霜、竹炭粉
地址:南投縣鹿谷鄉竹林村田頭巷35-66號
4. 水里鄉──車埕休閒農業區
車埕是集集支線的終點站,故有「最後的火車站」之稱,經過規劃整建後,以當地特色原木為特色,成立「車埕休閒農業區」其景觀樸素典雅,和山城的景觀搭配相得益彰,漫步其中,可感受鐵道文化的懷舊風情味。車埕火車站每年湧入上百萬人潮,可說是全國知名觀光景點之一,也因為早已轉型成旅遊休閒小鎮和發展林業觀光文創產業,許多遊客要進入日月潭之前,一定會來這裡逛逛,體驗日據時代的鐵道木業史。
◎ 建議行程:逛車埕園區→火車旁拍照留影→木馬道體驗→木工椅DIY→品嘗木製便當
◎ 體驗活動:蘭花組合DIY、咖啡沖泡DIY、木工筆筒DIY、木工椅DIY、木便當盒DIY、手工香蕉麵DIY、製梅李體驗
◎ 嚐鮮特選:梅子(3月-5月)、咖啡(10月-1月)、香蕉(全年)
◎ 伴手好禮:車埕咖啡、蘭花、天然樟腦油、天然檜木精油、木香便當盒
地址:南投縣水里鄉車埕村高山巷9-3號
5. 中寮鄉──龍眼林休閒農業區
龍眼林休閒農業區位於北中寮,範圍包括龍安、內城、清水三村。清朝年間,先民入山開墾,當時因為遍布龍眼樹,因此稱之為「龍眼林」。主要種植龍眼、荔枝、香蕉、油甘、肉桂、薑黃等農特產,除擁有豐富的生態資源,其產業正朝有機及保育石虎友善耕作發展,在地龍眼林社區銀髮族福利也是優等模範為參訪交流的對象,結合休閒農業一步步打造理想的銀綠色村落,現區內有特色民宿且規劃各種體驗活動遊程,可以深入當地文化,來一趟生態且含知性休閒之旅。
◎ 建議行程:參觀肖楠巨木群→參觀龍鳳瀑布→採果體驗→品嘗南瓜料理→龍眼乾烘焙→藍染體驗
◎ 體驗活動:養生植栽、藍染體驗、龍眼乾烘焙(九月)、拼布貓頭鷹、採果體驗(小番茄、樹葡萄、八角櫻桃、珍珠柑)、蜜漬橄欖、槌球競賽、油甘泡菜DIY、輕食手捲、南瓜料理、愛玉搓搓樂
◎ 嚐鮮特選:龍眼(8-9月)、柑橘類(12-2月)、小番茄(12月-1月)、荔枝(5-7月)、美濃瓜(6-9月)、八角櫻桃(全年)
◎ 伴手好禮:烘焙龍眼乾、龍眼蜜、烘焙荔枝乾、洛神蜜餞、肉桂露、炭焙烏梅、龍眼花茶、氧素基精、古味梅、薑黃粉
地址:南投縣中寮鄉龍南路47-8號
以上廣告由南投縣政府農業處提供。