新诈骗简讯疯传!电信公司简讯认证疑遭破解
随着科技发展日新月异,消费模式跟着进化,而所谓线上支付、行动支付的新型态消费模式,却已经成为骇客温床。中华电信受访时建议民众不要点选不明的简讯连结,呼吁启用「双向简讯认证」确保消费安全;此外,趋势科技呼吁应该安装行动安全防护软体进行安全扫描,而且不要下载来历不明的应用程式。
(1) 您的快递通知单,收件签收电子凭证http://goo.gl/1****0
(2) 您的黑猫宅急便快递通知单,收件签收电子凭证http://goo.gl/K****N
(3) OOO先生,您正在申请网上支付2014年2月水费共计 666.00元,如非本人操作,请查看电子凭证进行取消:http://goo.gl/A****b
(4) OOO先生,您正在申请网上支付103年3月电费共计 888.00 元,若非本人操作,请查看电子凭证进行取消http://goo.gl/U****a
(5) OOO先生,您正在申请网上支付103年4月电费共计 9999.00 元,若非本人操作,请查看电子凭证进行取消http://goo.gl/W****f
对此,刑事警察局警告,这些都是手机简讯诈骗手法,诈骗集团用以上形式为由,诱骗不知情民众点入网址连结,进而自动下载安装恶意程式,在未经使用者同意下盗用个资,进行小额付费扣款。
根据 165 防诈专线统计,从 2014 年 4 月至今已经有 56 起案例,总损失金额超过台币 13 万元,其中通知上网取消水电费支付就有 16 例,快递收单有 40 例。刑事局呼吁民众收到陌生简讯不要点选简讯内的网址,并向相关单位查证。另外,民众也应避免从 Google Play 以外的市集下载未经审核的 App。
对此,中华电信行动分公司加值处科长谢家吾表示,关于诈骗简讯,国家通讯传播委员会(NCC) 去年(2013)便要求各家电信公司能建立有效防堵新型态诈骗简讯,最后各家电信决议采用「双向简讯认证」机制来阻挡骇客入侵。而在 NCC 要求之下,中华电信去年 10 月就建立了双向简讯认证机制,用户在消费前,系统端就会发送确认密码,让用户在确认消费时,填写密码回传,服务端就会启动小额付费机制进行线上消费。
谢家吾解释,目前包括中华电信在内,像是台湾大哥大、远传、亚太、威宝等,所有电信公司都设有「双向简讯认证」防护机制,不过这些机制预设是「关闭」状态,用户第一次开通必须先到各家电信的小额付费服务网页填写个人资料,然后系统端就会进行第一次的双向简讯开通,如此一来才会开通前述双向简讯认证机制,可消费额度最高 6,000 元,消费内容目前也只有开放虚拟商品、游戏点数等内容。
换句话说,目前各家电信提供的小额支付服务,必须要自行开通才有效,如果没有开通,是没有办法进行相关支付服务;此外,小额支付收到的简讯,不会有任何连结,然而记者发现,这整个机制当中,如果一旦消费者点了上述五种简讯当中任何一种连结,手机就会被植入木马程式,骇客就很容易取得消费者个资,并很有可能拦截消费者个资与双向简讯认证的密码进行不法消费。
对此,趋势科技资深技术顾问简胜财受访时回应,目前常见的诈骗途径及传散方式有下列五种状况:
(2) 恶意钓鱼网址:透过简讯、社交软体(如Line等)散布
(3) App 骗取个资:透过 App 取得用户个资
(4) 透过非官方 App store 下载的 App,或是破解程式
换句话说,这个由智慧型手机收到的简讯随附连结的状况,其实也是恶意钓鱼网址的一环,通常点选之后,手机会被要求下载来路不明的应用程式,并通过 App 窃取个资,当然也有可能破解所谓的简讯认证机制。
简胜财呼吁使用者务必花一点时间来保护自己的装置,像是安装行动防护软体(如《安全达人》),并作一次全面检查,仔细筛选 App 程式,不要作 JB或是 Root,安装 App 时应该留意程式是否要求过高的权限等。此外,消费者应该要有基本的资安常识,并应密切注意软体问题及漏洞的通告,例如最近爆发的Heartbleed(心淌血)漏洞,就应立即安装可侦测的资安防护软体(如安全达人)以避免受害。
总而言之,即使电信公司设置了恶意简讯机制,即使各家防毒软体公司释出各式行动防毒机制与通告,最终还是要回归使用者行为,因为诈骗手法再如何日新月异,只要对于需要额外「做些甚么」(好比说:点选连结)的简讯或者是电子邮件,都必须要先考虑再三,并再三拨打电话求证与确认,然后搭配原有的防堵机制,那将会有更愉快的行动产品使用体验。