網銀被盜轉26萬:駭客怎麼操控我們的手機?有什麼簡易自保之道?

網銀被盜轉26萬:駭客怎麼操控我們的手機?有什麼簡易自保之道?
Photo credit:AP/達志影像

我們想讓你知道的是

到底駭客是怎麼入侵我們手機的?蘋果手機確實比較安全嗎?入侵之後駭客怎麼操控我們的手機?網銀轉帳功能真的得關掉嗎?有什麼簡易自保之道?

一名女子在臉書社團《爆料公社》抱怨,開通國泰網銀功能,並在iPhone上使用後,10天內被駭客盜轉26萬元。除此之外,她還加碼爆料,她閨密的客戶也發生類似事件,盜轉金額合計超過100萬。最後,她認為不只一家銀行出問題,並呼籲大家把網銀轉帳功能關掉。

國泰立即發出聲明:「全面檢視網銀App系統均運作正常,並無駭客入侵情事」,玉山則表示「並未接獲顧客反應遭盜轉70萬情事,已於官方網站及網路銀行公告提醒顧客防範類似惡意行為。」

到底駭客是怎麼入侵我們手機的?蘋果手機確實比較安全嗎?入侵之後駭客怎麼操控我們的手機?網銀轉帳功能真的得關掉嗎?有什麼簡易自保之道?

這一切得從特洛伊木馬說起。

惡名昭彰的木馬程式(Trojan)

高中時,同學B自視甚高,常常在我跟另一位S同學面前誇耀自己家世多好、多少女生倒追他、根本沒花時間念書(但考試成績總是名列前茅)等等。我除了微笑傾聽,也沒別的辦法,但S可不是吃素的。某天,S邀我去他家玩,他打開了電腦,在鍵盤上輸入幾個字、點了幾下滑鼠,螢幕上居然出現了B的電腦桌面!

「B追女生只有一招,就是到處告白,根本亂槍打鳥!而且所有女生都拒絕他了,哪有人倒追。」S一邊點開B的電子郵件跟通訊軟體,一邊嘲笑地跟我解釋信件跟對話內容。

許多年以後,我才知道被放到B電腦內、用來回傳各種資料與畫面的軟體,正是大名鼎鼎的「木馬程式」。

我怎麼會傻到安裝木馬?

因為你不知道它是。

木馬之所以能屠城,是因為特洛伊人被希臘聯軍設計,傻傻把它拉進城內,然後被藏伏在內的士兵殺得片甲不留;木馬程式之所以能攻下電腦或手機,是因為你我被駭客設計,以為是正常程式,傻傻安裝了它,讓駭客遠端即可操控,恣意擷取他想要的任何資料。

駭客誘騙手法千奇百怪,他們會透過電子郵件、電話簡訊、即時通訊軟體、惡意廣告、被入侵的合法網站等為管道,直接給你惡意程式,或是附上網址後要你下載,說是天羅地網也不為過。

而你願意自投羅網,是因為駭客總能掌握人性的弱點與最新的潮流。近期流行的「商品已到貨」簡訊,不就是利用網購普及的趨勢,以及人們購物後期待開箱的興奮嗎?

以趨勢科技的Xloader研究報告為例,Android使用者連結到惡意網址後,會被要求下載名為「Chrome.apk」、假裝是Chrome瀏覽器,但實際上是木馬程式的檔案。使用者一旦「忽略」Android警告,硬要安裝這個來源不明的程式,那麼木馬程式就成功植入了。

木馬植入後,駭客可以作的事情不勝枚舉。他可以竊取重要的個人資料、聯絡人、照片、文件,也可以為了竊取帳號密碼自動打開釣魚網頁;甚至還能攔截簡訊、假借名義發送釣魚簡訊、錄下通話內容等。

unnamed
圖片來源:趨勢科技
不小心下載也千萬別安裝(圖片來源:趨勢科技的警告圖示)

卡巴斯基針對另一木馬Ghimob的研究中,還發現它專門鎖定巴西100多種銀行、金融科技、加密貨幣等程式,一旦發現使用者打開銀行網站或程式,即會跳出幾乎與官網一樣的釣魚網頁,騙取使用者網銀的帳號密碼,非常強悍。

那iPhone使用者可以安心了吧?

不行,因為如Xloader的木馬程式總會一再進化。

新版Xloader開始攻擊iOS,使用者一旦不小心安裝惡意的設定描述檔(Configuration Profile),釣魚網站隨即自動開啟,騙你輸入Apple ID與密碼。

駭客拿到Apple ID與密碼後,可做的事情也不少。他可以看到你儲存在iCloud的照片或文件、購買APP或遊戲道具,甚至安裝一些假憑證,好讓未來瀏覽假網站時瀏覽器不會發出警告。

unnamed_(1)
圖片來源:趨勢科技
果粉也請小心(圖片來源:趨勢科技警告圖示)

不過,相較Android來說,駭客要在iOS植入木馬,並且實現如Android上的完整控制功能,確實稍微困難一點。

所以,新聞的真相是什麼?

合理推測有以下幾個可能(以個人認為的可能性降冪排序):

  1. 身分證字號、電郵、密碼等資料早已外洩,而網銀的用戶代號與密碼,恰巧設定跟暗網外流的幾組帳密相同,被駭客嘗試登入成功,並使用非約定轉帳每天轉走五萬。網銀APP沒有通知款項被轉走,不一定是駭客攔截簡訊或軟體通知,因為手機可以設定要不要顯示通知。
  2. 熟人得知她的個資及帳密,直接登入把錢轉走。
  3. 手機越獄,安裝了包裝成追劇、免費音樂或電影的非官方合法程式,因此後門大開,潛伏多時竊取到身分證字號與網銀帳密。
  4. 手機未越獄,但下載了惡意的設定描述檔,Apple ID被盜,存放在iCloud中的文件或照片,剛好有身分證照片以及網銀帳號密碼。

民眾如何自保?

新聞苦主或是警方呼籲「關掉轉帳功能」或「將轉帳上限調低」保護措施,非常不食人間煙火,也不是解決問題的好方法。

申請網銀安裝App,目的就是希望不用拿著提款卡跑ATM,或甚至到銀行抽號碼牌排隊呀!因為幾個資安意識不夠的個案,而勸大家不用網銀轉帳,完美詮釋了何為「因噎廢食」。

如前面分析,只要「不主動安裝」,駭客是很難入侵手機的。因此,不隨便點連結網址、不安裝來源不明軟體,即可大幅減少遭遇惡意程式的機會,若能定期更新作業系統與App,並安裝防毒軟體,要被入侵還真的沒那麼容易。

本文經高智敏授權刊登,原文刊載於此

責任編輯:朱家儀
核稿編輯:翁世航


Tags: