近期网络犯罪在马来西亚非常猖獗,很多人都说自己莫名其妙被盗钱/盗刷,陌生人打电话给你如果接听就被盗一说,没经过任何 OTP/TAC 验证码就可以顺利转账等等,对于普通用户基本防不胜防。然而我们也可以尽可能降低所有问题发生的可能性,通常会发生这些问题都是由于我们的以往使用习惯加上对安全的认知缺乏,希望这教学对你有所启发,很多东西其实早在你未下载任何可疑的软件前就留下隐患。对此你可以尽可能依照这些方法来去防范盗钱/盗刷的可能性,提高自我保护意识。

 

以目前的网络安全角度来说,手机尚未有打电话给你就被盗一说的可能性技术,因为这不只是软件层面的漏洞,这问题更多的是在硬件层面的漏洞,至少以目前来说也尚未有这类的 0-day 漏洞或 Kernel 攻击漏洞相关文章的报道。

 

银行会被盗钱/盗刷有以下几种技术层面的可能,你们可以通过这以下几种可能性去识别和改善使用习惯避免问题发生。

  1. 使用不知名/山寨的手机牌子。
  2. 你通过手机/电脑上公共 Wifi。
  3. 随意使用不知名的 VPN 厂家的工具。
  4.  将敏感账户密码储存在手机/电脑上或绑定在 Google/Apple ID 账户。
  5. 你银行卡有绑定在购物平台/网站之类的习惯。
  6. 皮包上没有 Block RFID 的功能。
  7. 假冒银行网站。(钓鱼网)
  8. 你手机/电脑存在恶意软件。
  9. 银行账户里的设置使用 Default 安全模式。
  10. 在刷卡器上有后门。

 

1. 使用不知名/山寨的手机牌子。

由于厂家为了提高业绩会自带很多原厂软件和其他第三方软件让用户使用,而恶意黑商可能会自带一些“特别”软件附加在你的电话上,普通用户又缺乏了解这方面的安全知识,导致很多时候在你使用前已经中招却不知道。

 

2. 你通过手机/电脑上公共 Wifi。

无论是有密码的 Wifi 或没有 Wifi 密码的公共场合,如果没有必要,不要用来登录你的敏感账户,因为你不知道和你共享 Wifi 的人是否有骇客在里面,如果有他们可以从中截取你的登录 ID /密码之类的信息而你全然不知道。

 

3. 随意使用不知名的 VPN 厂家的工具。

VPN(Virtual Private Network)通常是用来翻墙使用的一个工具,由于近期很网站都被一些限制封锁,导致多人需要 VPN 来访问网站,如果你有使用 VPN 的习惯并且来登录敏感账户,无形中你的账户密码也会暴露给 VPN 提供商。

 

4. 将敏感账户密码储存在手机/电脑上或绑定在 Google/Apple ID 账户。

由于很多用户为了方便,下次登录可以缩短时间,所以会把自己的账户密码绑定在 Google/Apple ID 账户或储存在手机上,其实这样会成为一个很大的安全隐患,因为你的密码无形中暴露出来。

 

5. 你银行卡有绑定在购物平台/网站之类的习惯。

如果你有绑定卡在购物或服务平台/网站的习惯,从今天起应该改改这个习惯了,因为你不知道你使用的平台是否有恶意分子掌握他们的数据或者他们的软件已被骇客攻破,而你银行卡很可能会这样随时被恶意分子盗刷。

 

6. 皮包上没有 Block RFID 的功能。

其实恶意分子可以通过一些读取 RFID 工具来去读取你皮包内的卡信息,所以皮包使用 Block RFID 的功能皮包夹是对你有所帮助的,或者将卡的 Paywave 功能关闭。

 

7. 假冒银行网站。(钓鱼网)

很多人到至今还分不清真的银行网站链接还是假的网站链接,以 Hong Leong bank 为例,网址为 https://www.hlb.com.my,但骇客可能会使用 I 替代 L,也就是 https://www.hIb.com.my。所以访问网站需要明确知道你所访问的网站是否有问题,如果需要尽可能避免,可以使用  Virus Total 来验证。

 

8. 你手机/电脑存在恶意软件。

如果你是习惯使用电脑登录银行账户,我给的建议是不要用电脑来登录银行账户比较好,因为电脑要发现和预防恶意软件相对比较困难,这需要一些技术含量才能尽可能避免,而手机上我们可以采取以下手段去预防:

 

Android 用户(以Lenovo为例)

Settings > Apps > Configure apps > App permissions > SMS 将所有可疑的 App no allowed。

 

Settings > Apps > Configure apps > Modify system settings 将所有可疑的 APP 设为 No。

 

Setting > Security > Unknown Sources 设为关闭,将 App permissions 开启,找出 Trusted credentials 里面可疑的 Certificate 将它关闭。

 

Settings > App 找出那些没用到的 App 和隐藏可疑的 App 将它们删除,并且时常使用 App Killer 来清除软件后台使用进程或将没用的 App Force Stop,这还能起到让手机使用流畅的效果。

 

IPHONE 用户

Settings > Privacy > Tracking 将没用的东西关闭。

 

Settings > General > VPN 将没用过的 VPN 删除。

 

Settings > Apple ID > Password & Security > Apps Using Apple ID 将敏感账户绑定的删了。

 

Settings > General > Trusted Certificate > Profile 将可疑的 Profile 全部删除。

 

9. 银行账户里的设置使用 Default 安全模式。

由于很多银行用户不知道其实在你的银行 App 设置上,银行所设置的功能是方便大众所使用的功能,所以一些该关闭的权限大部分的人都没去关闭,如果你不知道该怎么做可以去看相关银行网站教学指南或询问银行客服。

 

10. 在刷卡器上有后门。

这种的可能性是非常小的,但也不排除会有这种的可能性,而我们能预防所做的是选择性是否要使用刷卡,使用 e-Wallet 付款,又或者申请全新的一张卡让刷卡器使用,需要使用时才 TOP-UP 钱在里面。

 

那没有收到银行的 OTP/TAC 验证码真的可以转钱去给人吗?

其实是可以的,以最常见的例子来说,他们通常会使用钓鱼方式来对你采取攻击,首先他们会假扮一些商家以优惠价格或用他们的软件来骗你付款,这时候他们会要你下载他们所自制的软件来购买和付款。这时候你如果下载了,以 Android 为例,你打开了(请看 8.)相关权限,这意味着你开了大门给骇客所做的恶意软件进来你电话为所欲为,骇客的软件将会在你的手机后台上秘密运行,而你全然不知。

 

在他们恶意软件购物平台上所看到的 Payment Gateway 全部都是假的,不管是 Credit Card,Hong Leong Bank 或什么 Paypal 界面也一样,你放任何账号都是过不到的,输入后直接出现 Under Maintanence,然后 Please try again with other bank/card,当然你之前所输入的账号都会去到骇客的后台上。

 

一般盗银行账户的恶意软件会需要 SMS Permission 来读取你所收到的 SMS,因为你每转一笔钱都需要 OTP 验证码才能转,而这时候如果你 Allow SMS Permission 了,这意味着对方可以自由读取和删除你所收到的信息,如果你不接受 SMS Permission Allow 是无法继续访问的。

 

可能有很多人会觉得用一个科技产品都要那么麻烦,不如不用更好。话虽如此,但我们现在活在科技时代,如果你还有这种想法迟早被科技淘汰。而在安全上我们能做的只有提高自己的安全意识,尽可能避免问题发生。