新詐騙簡訊瘋傳!電信公司簡訊認證疑遭破解
隨着科技發展日新月異,消費模式跟着進化,而所謂線上支付、行動支付的新型態消費模式,卻已經成爲駭客溫牀。中華電信受訪時建議民衆不要點選不明的簡訊連結,呼籲啓用「雙向簡訊認證」確保消費安全;此外,趨勢科技呼籲應該安裝行動安全防護軟體進行安全掃描,而且不要下載來歷不明的應用程式。
(1) 您的快遞通知單,收件簽收電子憑證http://goo.gl/1****0
(2) 您的黑貓宅急便快遞通知單,收件簽收電子憑證http://goo.gl/K****N
(3) OOO先生,您正在申請網上支付2014年2月水費共計 666.00元,如非本人操作,請查看電子憑證進行取消:http://goo.gl/A****b
(4) OOO先生,您正在申請網上支付103年3月電費共計 888.00 元,若非本人操作,請查看電子憑證進行取消http://goo.gl/U****a
(5) OOO先生,您正在申請網上支付103年4月電費共計 9999.00 元,若非本人操作,請查看電子憑證進行取消http://goo.gl/W****f
對此,刑事警察局警告,這些都是手機簡訊詐騙手法,詐騙集團用以上形式爲由,誘騙不知情民衆點入網址連結,進而自動下載安裝惡意程式,在未經使用者同意下盜用個資,進行小額付費扣款。
根據 165 防詐專線統計,從 2014 年 4 月至今已經有 56 起案例,總損失金額超過臺幣 13 萬元,其中通知上網取消水電費支付就有 16 例,快遞收單有 40 例。刑事局呼籲民衆收到陌生簡訊不要點選簡訊內的網址,並向相關單位查證。另外,民衆也應避免從 Google Play 以外的市集下載未經審覈的 App。
對此,中華電信行動分公司加值處科長謝家吾表示,關於詐騙簡訊,國家通訊傳播委員會(NCC) 去年(2013)便要求各家電信公司能建立有效防堵新型態詐騙簡訊,最後各家電信決議採用「雙向簡訊認證」機制來阻擋駭客入侵。而在 NCC 要求之下,中華電信去年 10 月就建立了雙向簡訊認證機制,用戶在消費前,系統端就會發送確認密碼,讓用戶在確認消費時,填寫密碼回傳,服務端就會啓動小額付費機制進行線上消費。
謝家吾解釋,目前包括中華電信在內,像是臺灣大哥大、遠傳、亞太、威寶等,所有電信公司都設有「雙向簡訊認證」防護機制,不過這些機制預設是「關閉」狀態,用戶第一次開通必須先到各家電信的小額付費服務網頁填寫個人資料,然後系統端就會進行第一次的雙向簡訊開通,如此一來纔會開通前述雙向簡訊認證機制,可消費額度最高 6,000 元,消費內容目前也只有開放虛擬商品、遊戲點數等內容。
換句話說,目前各家電信提供的小額支付服務,必須要自行開通才有效,如果沒有開通,是沒有辦法進行相關支付服務;此外,小額支付收到的簡訊,不會有任何連結,然而記者發現,這整個機制當中,如果一旦消費者點了上述五種簡訊當中任何一種連結,手機就會被植入木馬程式,駭客就很容易取得消費者個資,並很有可能攔截消費者個資與雙向簡訊認證的密碼進行不法消費。
對此,趨勢科技資深技術顧問簡勝財受訪時迴應,目前常見的詐騙途徑及傳散方式有下列五種狀況:
(2) 惡意釣魚網址:透過簡訊、社交軟體(如Line等)散佈
(3) App 騙取個資:透過 App 取得用戶個資
(4) 透過非官方 App store 下載的 App,或是破解程式
換句話說,這個由智慧型手機收到的簡訊隨附連結的狀況,其實也是惡意釣魚網址的一環,通常點選之後,手機會被要求下載來路不明的應用程式,並通過 App 竊取個資,當然也有可能破解所謂的簡訊認證機制。
簡勝財呼籲使用者務必花一點時間來保護自己的裝置,像是安裝行動防護軟體(如《安全達人》),並作一次全面檢查,仔細篩選 App 程式,不要作 JB或是 Root,安裝 App 時應該留意程式是否要求過高的權限等。此外,消費者應該要有基本的資安常識,並應密切注意軟體問題及漏洞的通告,例如最近爆發的Heartbleed(心淌血)漏洞,就應立即安裝可偵測的資安防護軟體(如安全達人)以避免受害。
總而言之,即使電信公司設置了惡意簡訊機制,即使各家防毒軟體公司釋出各式行動防毒機制與通告,最終還是要回歸使用者行爲,因爲詐騙手法再如何日新月異,只要對於需要額外「做些甚麼」(好比說:點選連結)的簡訊或者是電子郵件,都必須要先考慮再三,並再三撥打電話求證與確認,然後搭配原有的防堵機制,那將會有更愉快的行動產品使用體驗。