智慧型手機行動支付逐漸普及,尤其在疫情的催化下,使用行動支付零接觸的付款方式,加速成長。但如果裝置失竊或遺失,註冊的支付服務可能會遭到盜用。該如何刪除在Apple Pay及Google Pay中註冊的信用卡資訊?
不用碰到現金的智慧型手機支付已越來越為大眾所接受。許多人可能會使用「Apple Pay」或「Google Pay」這種平台來統一管理各種支付服務。如果擁有使用iPhone 7後續的機種或可支援NFC(一種近距離無線通訊協定)的Android裝置,即可輕易使用Apple Pay或Google Pay。只要安裝專屬應用程式,註冊手上的信用卡、簽帳金融卡或預先儲值(加值),付款時就僅需將智慧型手機置於專用裝置上感應,相當方便。
延伸閱讀:
《資安漫畫》嗶一聲,就可付費,手機行動支付的風險與七個安全法則
《資安漫畫》常用手機登錄網銀或行動支付,這 10 件事千萬別做
國內新冠肺炎(COVID-19)三級警戒進入延長賽,中央疫情指揮中心規定,進出所有公共場所皆需使用「簡訊實聯制」。然而,卻有不肖人士將店家張貼於門口的QR Code偷偷調換,連結到高額付費號碼,讓民眾荷包大失血。
內政部警政署165全民防騙粉專貼出公告提醒:店家張貼的 QR Code 務必不定期檢查,以防遭不肖人士更換;民眾掃完QR CODE,按下簡訊傳送前,要先確定螢幕上方,傳送簡訊的對象確定是「1922」再傳送。
智慧型手機對於多數的使用者而言是不可或缺的存在。因此,網路犯罪者將智慧型手機用戶視為攻擊的目標,且其中包含著許多的風險。
本文介紹四個代表性的風險,以及為什麼智慧型手機需要採取資安對策的必要性。
簡訊雖然相當便利,但由於可以任意地組合號碼並向多數不特定的使用者傳送訊息,經常遭到網路犯罪者的濫用。
近來偽裝成正規的官方服務「宅配不在府通知」及「要求支付未付款」、「確認登入」等通知,藉此誘導用戶前往非法網站或是假的諮詢電話號碼的手法案件層出不窮。加上,誘導目的地的非法網站,為了騙取使用者乍看之下與正規的官方網站沒有任何區別製作的極為巧妙。
參考:
宅配公司發的不在府通知簡訊,夾帶病毒!揭穿五種網拍宅配包裹騙術
【簡訊詐騙警訊】詐騙集團假冒中國信託/國泰世華/台新銀行通知「您網銀帳戶異常,即將凍結」當心存款人間蒸發!
PC-cillin 詐騙剋星,獨家創新
透過手機拍照或截圖,即可預先偵測影像中網址的安全性;亦可自動過濾含有惡意或詐騙網址的簡訊內容。
※ 適用於 iOS
自動過濾詐騙簡訊
透過影像辨識網址安全性
大多數的使用者都了解使用官方以外的應用程式商店是相當危險的,但是其實官方的應用程式商店也有非法的應用程式。
非法應用程式不但會偽裝成其他功能,也會偽裝成受歡迎的應用程式以誘惑使用者安裝。即便是官方的應用程式商店,安裝前也要好好地確認提供廠商及詳細內容。同時,留意應用程式所要求的權限。請避免使用要求用戶提供超過許可權限以外、或要求跟功能完全無關的權限的應用程式。而且,如果能於事先安裝防毒軟體/資安應用程式的話,那麼今後就能對安裝的應用程式進行掃描並作判斷。
非法應用程式不僅會竊取智慧型手機內的資訊,還會將用戶手機安裝的合法官方應用程式竄改為非法應用程式,甚至具有偷拍及竊聽等各式各樣的功能。
提供可以免費使用的Wi-Fi熱點的設施及商家越來越普遍了。但其中也有偽裝成官方的假Wi-Fi熱點。
一旦使用了此類Wi-Fi熱點,極有可能使得通訊內容遭偷窺,或是誘導使用者進入非法網站。
使用Wi-Fi熱點前,請確認通訊是否經過加密,是否為正規的連結熱點。另外,為了避免自動連結功能誘導使用者進入假的連結熱點,使用完公共Wi-Fi後,請確認是否有設定成不需自動連結的功能。
參考:
按下「更新」才能使用飯店 Wi-Fi ?一按就下載病毒!
使用免費公共無線網絡(WiFi)竟讓公司遭駭!
FBI 為何警告出國少用免費Wi-Fi ?三大旅遊資安備忘清單!
銀行木馬Emotet 再進化, 新增 Wi-Fi 散播能力
使用手機等行動裝置進行銀行交易和購物非常便利,有時候甚至比使用金融卡更安全。您可以查詢餘額、進行安全的付款、存入支票和轉帳;您甚至可以將簽帳金融卡或信用卡連結至 Apple Pay 或 Google Pay (或是其他付款服務),使用行動錢包和近距離無線通訊技術 (NFC),或是在排隊結帳時掃描 QR 碼,快速輕鬆完成購物。
基本上,行動支付不僅節省時間,而且比傳統的支付方式更加安全。只需要一個支付 App 程式啟動交易即可,同時,由於不需要使用信用卡,因此就能避免遭到一些專門拷貝信用卡的銷售櫃台系統 (PoS) 攻擊。此外,行動支付也有一些防護措施。
不過,由於這已逐漸成為一種熱門的付款方式,因此,駭客也可能利用假冒或惡意的 App 程式或是外洩的資料來執行中間人攻擊 (Man-in-the-Middle ,簡稱 MitM),進而濫用這項新的支付方式。而 App 程式本身也可能出現程式碼或流程上的漏洞,進而造成銀行帳戶資料外洩。此外,假使裝置遺失或失竊,裝置上儲存的金融相關資訊就可能遭人用於惡意用途。只要一不小心,您的資料和安全認證資訊就可能落入歹徒手中。
參考:
趨勢科技發現了好幾個會在用戶不知情下,訂閱加值服務的Joker相關新應用程式。該惡意軟體已經從 Google Play商店移除1,700多個有問題的應用程式
Joker拿出了更多把戲:就跟過去的攻擊一樣,新的Android惡意應用程式會在未經使用者同意就訂閱加值服務。
Joker(又被稱為Bread)是長期針對Android裝置的惡意軟體。該惡意軟體從2017年開始出現,到2020年初Google已經從Play商店移除1,700多個有問題的應用程式。但隨後惡意軟體製造者又上傳了更多樣本,如Zscaler所發現的那些。
趨勢科技之前的研究發現其會利用GitHub來隱藏惡意檔案的變種,藉此躲避偵測,讓新變種潛入Google Play。
因為它們與早期樣本的相似,我們懷疑這些應用程式並非是個別的單一攻擊,而是整體威脅活動的一部分。
您知道監控智慧型手機的應用程式「追蹤軟體」嗎?若是智慧型手機被惡意安裝了追蹤軟體,就會被竊取各種資訊,一舉一動也會隨時遭到監控。
買了二手手機,你會檢查手機內是否有無安裝不明應用程式嗎?有些追蹤軟體會以相似的圖示偽裝成官方應用程式,有些根本不會在首頁畫面建立圖示,因此受害者也很難察覺智慧型手機內有安裝追蹤軟體。
以下文章會介紹各種可避免招惹麻煩的自保措施。
現代有許多人智慧型手機不離身,只要查看網路通訊、定位資訊服務、購物、金融服務、相機功能、資訊蒐集、電子書及影片等紀錄與儲存的資訊,就能輕鬆掌握手機使用者的日常生活。因此,如果有人想要取得您的資訊,或是掌握您周遭的事情,就有可能盯上您的智慧型手機。
為了偷偷地從智慧型手機取得資訊,不法之徒可能會使用監控用軟體,也就是所謂的追蹤軟體。這些軟體大多是以守護幼童安全、監控員工等名義,作為一般商用軟體販售。這類軟體雖然方便,但若擅自安裝在他人的智慧型手機上,也可能用於跟蹤或竊取資訊等惡意行為。
我們不能忽視追蹤軟體帶來的威脅。追蹤軟體安裝進智慧型手機後,會默默地在後台運作,蒐集使用者的定位資訊、通話紀錄、通話語音、社群網站的訊息、網頁瀏覽器的瀏覽紀錄、語音備忘錄及照片等各式各樣的資訊。
若是智慧型手機內被他人安裝追蹤軟體,或是自己不小心受騙安裝的話,可能發生四大類危害,分別是隱私權侵害與資料外洩、遠端控制、安全性降低、帳號遭盜用。
追蹤軟體會對外傳送許多資訊,不只有監控者可以存取這些資訊,提供追蹤軟體的廠商也可能將這些資訊轉賣給第三方,或是利用獲得的資訊來脅迫使用者。而追蹤軟體的目標不只針對個人,也有可能為了對特定企業或組織發動網路攻擊,事先將追蹤軟體安裝在員工或相關人士的智慧型手機以便蒐集資訊。
若安裝的追蹤軟體擁有管理員權限,終端裝置內的資訊不僅可能被竊取,還可能被刪除。若是追蹤軟體擁有變更螢幕鎖、拒接來電設定等權限,還可能導致受害裝置無法正常使用。如此一來,即使受害者發現追蹤軟體,也可能無法藉由操作終端裝置來解除安裝。
由於Google Play及App Store等官方商店會排除不符合安全性要求的應用程式,因此追蹤軟體多半發布在服務業者的網站或非官方商店。為此,若有人要在目標Android終端裝置中安裝追蹤軟體,就必須於終端裝置或網頁瀏覽器中設定允許「安裝來源不明的應用程式」。另一方面,若安裝目標為iPhone則會進行越獄(Jailbreak,解除iOS限制以使用非官方商店的修改行為)。一旦Android終端裝置設定被更改,或是iPhone越獄後,安全防護等級皆會下降,被惡意應用程式入侵的風險提高。
有些追蹤軟體提供鍵盤監聽(竊取輸入內容之軟體)功能,如此一來,監控者就可以完全掌握透過智慧型手機輸入的資訊。例如,將鍵盤輸入的資訊與網頁瀏覽器的瀏覽紀錄比對後,可以分析出網路銀行等各項網際網路服務的認證資訊(帳號與密碼)。由於可藉此獲得雙重驗證或兩步驟驗證(2FA)時收到的簡訊等資訊,各項網路服務帳號被盜用的風險也因此提高。
接下來說明為避免遭受追蹤軟體危害的適當自保措施。
在智慧型手機中安裝追蹤軟體時,通常必須直接操作該裝置。開啟螢幕自動鎖定功能,超過特定時間沒有操作就會自動鎖定,可以避免讓第三者直接操作智慧型手機。設定螢幕鎖時,請使用難以推測的字串或生物辨識(使用指紋、臉部或虹膜等身體特徵的辨識方法),盡可能使用第三者難以破解的方法。不過,也有報告顯示某些機種可用照片破解臉部辨識,因此若為了方便而使用智慧鎖或生物辨識功能,也可以視情況搭配使用Lockdown*功能。Lockdown功能可暫時停用生物辨識等功能,避免遭第三者破解。
*:僅限Android
追蹤軟體原本就為了隱藏在智慧型手機中而設計,有些以相似的圖示偽裝成官方應用程式,有些根本不會在首頁畫面建立圖示,因此受害者也很難察覺智慧型手機內有安裝追蹤軟體。有些安全防護應用程式在掃描終端裝置時,會偵測到追蹤軟體並判斷為「非必要應用程式(Potentially Unwanted Application;PUA)」。若智慧型手機為二手物品或來自二手平台、拍賣網站等交易網站,使用前應先檢查有無安裝不明應用程式。
由於安全防護應用程式無法掃描iPhone,因此必須親眼確認安裝在內的應用程式,透過一覽檢查是否有沒看過的應用程式,或越獄後常會安裝的應用程式「Cydia」。若終端裝置遭到越獄,也可能發生耗電量增加、開機異常或應用程式錯誤等情形。
此外,企業等組織配發的裝置通常會安裝MDM(行動裝置管理工具)及設定描述檔,雖然同樣是為了管理、監控裝置,卻不屬於非法工具。
若偵測到不明應用程式請盡快解除安裝。但擁有管理員權限的追蹤軟體,可能無法用一般的步驟解除安裝。若因不明原因無法刪除,請聯絡安全防護應用程式的服務窗口或電信業者窗口以尋求協助。
※本篇報導係依撰文當時的資訊製作而成。
