想像一下,你的銀行通知你要安裝更新版本的行動應用程式。下載應用程式後,它要求管理員權限。你所收到的通知內提到確實會出現此要求,所以你按下同意鍵。你試了一下應用程式,它運作正常。你甚至可以順利完成交易。
第二天,你發現你的手機無法識別你的密碼。你不知道誰變更了它或這如何發生,因為你沒有將手機借給任何人。你嘗試了幾個密碼組合,但你的手機都不認得。只剩下幾次猜測正確密碼的次數就會觸發手機內容清除。當你花上整天試著想要解鎖手機時,有人已經清空了你的銀行帳戶。
Emmental 銀行交易犯罪行動 ,允許遠端攻擊者用簡訊即時發出指令,包括重設手機密碼
在2014年,趨勢科技發現了「Emmental 行動」,這是個利用惡意應用程式攔截簡訊以劫持使用者銀行交易的網路犯罪行動。最近,我們的研究人員發現上述行動所用的惡意應用程式也能夠讓遠端攻擊者用簡訊即時發出指令,包括重設手機密碼。此動作可以將使用者暫時鎖在設備主畫面外,這或許是種緩兵之計,好讓詐騙交易暗地進行。
假 OTP產生程式
跟之前用在Emmental行動的應用程式類似,最新版本偽裝成會生成一次性密碼(OTP)的銀行應用程式。我們所看到的最新樣本偽裝成來自奧地利的地方銀行:
圖1、假OTP產生程式截圖
實際上,「密碼」只是從一靜態列表中隨機選出。