in 分享, 首页

”这就是为什么华人比较容易中!“ 大马软件工程师揭发:他们是怎样拿到OTP!教你6个有效防范方法!

封面来源:maketecheasier | appadvice | wandoujia

三不五时就会在脸书看到“没有收到 OTP 钱就被转走”等事件发生,尤其是最近这几个月越来越频繁!网上谣言流传是银行有内gui,殊不知可能是自己在不知不觉中埋下的种子…

没有收到任何通知!大马女子打开App看才发现:银行存款1个多星期前「静静地被转走了」!

大马一名专业软件工程师日前在脸书发长文揭发诈骗分子的盛行手段,他们为什么能够轻而易举的转走银行户口的钱,其实跟我们平时如何使用手机是息息相关的!

原文如下:

Hi, 我是 software developer 专门开发 mobile app 之类的,我想说说诈骗那些事。有点长但是 very informative。

*先说说 android app 怎样转走银行的钱*

通常很多 Facebook, Instagram 广告会给特别优惠,然后付款需要下载 app 来做付款的。

华人特别容易进入这个圈套,因为电话 security 已经被打开,如果你有玩“王者荣耀”、“和平精英”之类的中国 game 这类型的 app,你就已经开启了 allow install from unknown resources 设定了。这个设定是为了防止安装到恶意软件的,但是既然打开了,那安装恶意软件 app 是轻而易举的事情了。

OK,开始说到安装 apk 之后了,你就需要 sign up 户口。这里还很清晰和正常 app 再正常不过了,到了 SMS 身份验证 verification 的时候,他就会 request for SMS permission 不然你是 continue 不到的。

当你授权了 SMS permission 给这个 app 的时候,这个 app 就可以 read,delete 你所收到的 SMS。

逛完了,是时候付款了,付款的时候所去到的 payment gateway 都是假的,什么 credit card,FPX,Maybank Ambank 什么的 e-Banking 界面都是假的。你输入什么东西都是过不到的 under maintanence ,然后 please try again with other bank/card。

然后还没睡醒的人就会继续用另外的户口,另外的卡来继续刷、继续付款都还是付不到。他们的客服回来安慰你:哦亲我的宝,我们的系统正在升级哦,请稍后再试。

重点来了,这时候是你亲自把 username password 交出去的了。

呵呵,这时候精彩时刻,就等待诈骗集团几时要动手了。这时候有好几种方法好让他们拿到你的 OTP:

1. 有时候不是每个 app 都可以在你电话的 background 运行的,你电话拥有省电功能把任何后台程序给 kill 掉。所以他们为了确认他们的 app 还在你的电话 background 运行,他们会特意 send 一个 SMS 给你,然后确认他们的 app 和他们的系统是还有连接的。

如果你收到了这样的 SMS ,马上 sha 掉所有程序,检查 app list 里面都是对的 app。

照片来源:YouTube

2. 当他们收到你的 SMS 后,他们基本上已经确认了可以读取你的 SMS 就会开始行动。登入你的账号、更改你的绑定手机密码。注意哦,他们不是转账,是直接更改你绑定手机的号码。

一旦更改了然后获取到 OTP 接下来的行动,他们都不需要你的手机里的 OTP 来转账了。他们怎么转基本上你都不会知道,直到你检查你户口的时候才发现。

3. 这时候你会怀疑,为什么没收到 OTP 钱就被转走了?记得一开始说的,app 已经拥有 SMS permission 来 read 和 delete,他们 read 了你的 SMS 直接 delete 掉,神不知鬼不觉。

他们其实只需要读取你的电话的一次,更改绑定电话的 OTP SMS,他们就基本上就为所欲为了。

照片来源:forbes

这就是为什么大家都在 complain 没收到 OTP,这就是为什么大家会收到奇怪的 SMS 钱就被转走了。怎么防范?

  1. 不要安装中国软件!这个很重要!尤其是下载 apk 的。不要打开 allow install from unknown resources 的设定。
  2. 如果必须打开来安装“王者荣耀”的话,记得安装后马上关掉!
  3. 定期检查手机上的 app。没用的 app 马上清除掉。
  4. e-banking 的认证照片要记起来,没看到照片都不是真的 e-banking portal。
  5. SMS Permission 记得去检查哪个 app 有权限使用,确保你只开放这个功能给你信任的 app。
  6. 只安装 Play Store 上的 app。没有进 Play Store 的 app 不要安装。

大致上就是这样,我下次写个关于 iOS 的。

大家也是爱说为什么不去调查那些赚钱过去账号的人?那些账号是骗子用几百块租回来的,那些account holder 什么都不用做就有钱收了,被举报的时候就说:不知道哦,我的 IC 被盗用了。

你可能会说:哇,网络交易这样不安全,我不要网上交易啦,永远不要用。

我想说的是:时代在改变,这就是趋势。你带现金在身上你也会遇到迷魂党、会遇到打抢,也是会发生一样的事。最好的方法是通过分享,大家互相学习提高警惕。网上交易这种东西不是学校会教的东西,大家要明白原理才可以去好好的使用。

Android不是那么不 secure,只是比较 flexible,不要以为 iOS 的就可以逃过一劫。

华人 bank 最容易 kena 因为打喜欢安装中国 apk,不要什么都怪银行。学校没教你的东西自己要去研究,自己把 OTP 交出去可以怪银行有内gui吗?

▼(示意图)

照片来源:scroll

▼ 切记!不要下载除了 Play Store 以外的 APP!

▼ 期待贴主分享更多有关这方面的知识!

来源:Ah Hong VS / Facebook

=============================
最新,最红,最火辣的新闻尽在这里!!
=============================

Shopee Sale :【点击这里
Lazada Sales:【点击这里
Telegram 订阅:【点击这里
RedChili21 好康分享区:【点击这里