一分鐘不到完成手機付款、行動購物好爽快!隱藏的七大風險你知道多少?

編按:

2017年 8 月 ApplePay 的安全性亮起了紅燈。盜用他人信用卡的鉅額詐騙案不斷被曝光。掃一下iPhone即可完成付款的ApplePay以其便捷性為賣點,但「用戶身份驗證」正在成為詐騙陷阱。
-2017/8/16 更新

 

行動支付正夯,智慧手機已經成為線上支付行動的主要媒介工具。當越來越多個人資料被放進一台手機中以後,如何保護這台行動裝置不被惡意程式或網站入侵,就是一項重要任務。

Apple Pay 日前登台,再度在國內掀起一波行動支付熱潮,上線兩天就有超過 41 萬張信用卡綁定,台灣人對於用手機付款這件事情趨之若鶩,每個人都想嘗試不用帶現金在身上的感覺。

 一分鐘不到完成手機付款、行動購物好爽快!隱藏的七大風險你知道多少?

行動支付並非新技術

不過,不論是最近最夯的Apple Pay,之前推出的 SWP-SIM 手機信用卡、悠遊卡或各種商店發行的儲值卡都算在電子票證的範疇中,就連裝在手機內的 APP 軟體,如果它能透過 NFC 感應付款,也是一種行動支付。

簡單來說就是不管是實體的信用卡、悠遊卡或是店家的儲值卡(像是 7-11 的 iCash、星巴克卡或摩斯卡),在行動支付的世界裡就是將這些實體卡片虛擬化,存到手機等行動載具裡。

行動支付發展得非常快速,事實上,早在「行動支付」這四個字廣為流行之前,你我或許就曾使用過行動支付,例如搭高鐵時,利用高鐵 APP 先訂票,再利用虛擬的乘車票證搭車,這就屬於行動支付的一種。一分鐘不到完成手機付款、行動購物好爽快!隱藏的七大風險你知道多少?

支付更便利,安全性呢?

現在付款這麼便利,只要拿起手機來刷一下,就可以解決大小事。就算你沒有辦理行動支付,但是透過手機上網,像是蝦皮拍賣、旋轉拍賣這一類的線上拍賣網站這麼紅,你一樣可以在一分鐘不到的時間,從下單、結帳到付款完全搞定。

不過,這麼快速的付款流程,卻也掀起了另一個問題:安全性。舉例來說,你怎麼知道你連到的是正版的網站?你怎麼知道你付款的對象是你以為的那個人?

國內目前有許多行動支付方式,像是 T-Wallet、支付寶等行動支付;也有像是 Paypal 這類國人常用的線上支付網站。儘管這些支付模式或是網站本身可能並不會有安全信任上的問題,但消費者「所到之處」卻有可能讓自己陷入危機,消費者瀏覽的網站、點選的不明連結,有時候會希望要求連接這些行動支付,以作為「未來支付」之用。

資安軟體與解決方案廠商趨勢科技表示,網路勒索將更頻繁、行動惡意程式威脅數量在 2016 年底將成長至 2000 萬,而新一代行動支付和線上支付系統將成為駭客 2017 年的重點攻擊目標。

行動支付、線上購物要注意的七大重點

一:你怎麼知道你付款的網站是「真的」?

許多來路不明的線上交易網站或是賣場,時常會要求希望能連接你的線上支付帳號,行動裝置的觸控面板不像電腦一樣,還需要用滑鼠有「點擊」的動作才會確定同意或是進入;行動裝置只要手指不小心碰觸到,就有可能不小心隨機同意連接自己的線上支付帳號給惡意網站。

二:你怎麼知道你遊戲App中的支付連結安全?

網路上有許多惡意程式,他們會隱藏在詐騙網站的廣告中,等待玩家點入安裝,他們還會用一些遊戲或是小工具的 App 來包裝,引誘消費者上當。惡意程式在安裝過程中就已經在系統資料中進行綁架,駭客們便可以控制行動裝置,一旦行動裝置有預先自動綁定任何線上支付網站的話,駭客就能夠直接從中獲利。

三:你怎麼知道你的銀行、購物 App 是「真的」?

網路上有許多詐騙網站會喬裝成「網路銀行」或是「購物網站」的方式,誘騙消費者綁定自己的信用卡進行線上消費,結果在輸入信用卡或購買資料的同時,也等於是把資料都上傳出去了,讓在網站背景的駭客可以直接取的這些資料,拿去做其他不法行為。

四:綁定Apple Pay再安全,手機遺失怎麼辦? Continue reading “一分鐘不到完成手機付款、行動購物好爽快!隱藏的七大風險你知道多少?”

2016年三大讓你荷包失血的行動裝置惡意程式

還記得您上一次不帶行動裝置出門是什麼時候嗎?

一整天下來,我們都會不時透過行動裝置和親朋好友聯絡,或是瀏覽平常最愛的網站、支付帳單、上網購物,甚至完成工作。行動裝置已成為我們日常生活不可或缺的元素,我們不只用它來消費服務或完成日常工作,更用它來儲存資料。一些重要的聯絡人、個人照片、電子郵件與檔案,甚至娛樂內容,都需仰賴行動裝置來儲存。不幸的是,有些威脅會讓這些個人資料和寶貴資訊陷入危險,甚至連累重要的親朋好友。

以下是三隻2016年三大讓你荷包失血的行動裝置惡意程式:

Marcher 從專偷Google Play 信用卡資料到攔截使用者和銀行之間的雙重安全認證
假冒 Google Chrome 更新的Android 資訊竊取程式, 暗中監聽來電和簡訊,甚至會竊取銀行帳號密碼
假的《Pokemon Go(精靈寶可夢)》偷偷幫你點色情廣告,亂訂閱服務,讓你手機帳單暴增

Marcher :從專偷Google Play 信用卡資料到攔截使用者和銀行之間的雙重安全認證

2016年三大讓你荷包失血的行動裝置惡意程式網路犯罪集團一直在不斷尋找可攻擊的應用程式、作業系統及軟體漏洞,試圖在廠商發現和修補這些漏洞之前發動攻擊。其主要目標是使用者的資料:從信用卡資料、電子郵件帳號密碼到通訊錄。此外,歹徒也會嘗試誘騙使用者下載一些廣告程式或訂閱一些付費服務。

網路犯罪集團經常利用各種技巧來蒐集資訊。Android 平台有一個名叫「Marcher」的惡意程式 (趨勢科技命名為 ANDROIDOS_FOBUS.AXM) 從 2013 年首次被發現至今仍不斷演進。一開始,這個惡意程式只竊取 Google Play 商店使用者的信用卡資料,其手法是在該商店的付款畫面上重疊一個仿冒的畫面。後來,Marcher 又冒出新的版本,不僅改進了竊取和詐騙的手法,更專門鎖定英國九大銀行的客戶。它會攔截使用者和銀行之間的雙重安全認證,然後將使用者的帳號密碼傳送至幕後操縱 (C&C) 伺服器。

 

 Android 資訊竊取程式:假冒 Google Chrome 更新通知, 暗中監聽來電和簡訊,甚至會竊取銀行帳號密碼

Android 病毒今年五月出現了一個假冒 Google Chrome 更新的 Android 資訊竊取程式

其手法是利用貌似正常 Google 更新的網址來騙過使用者,當使用者連上這些網址時,會看到提醒使用者「更新」瀏覽器的訊息。研究人員指出,該惡意程式會蒐集裝置上儲存的資料,並暗中監聽來電和簡訊,甚至會竊取銀行帳號密碼。

 

 

 

 

假的《Pokemon Go(精靈寶可夢)》:偷偷幫你點色情廣告,亂訂閱服務,讓你手機帳單暴增

Malicious-Pokemon-Go-Apps-FB除此之外,網路犯罪集團也很喜歡利用一些熱門時事。就在今年七月,許多犯罪集團都盯上了《Pokémon Go》遊戲的熱潮,誘騙使用者下載經過重新包裝的應用程式,這些程式暗藏著一些假冒的內容。有些地區的使用者等不及遊戲官方在當地正式開放,因此就前往一些非官方應用程式商店下載這些經過變造的版本。趨勢科技研究人員發現,這類非官方應用程式商店上經過重新包裝過的《Pokémon Go》應用程式不論Android 和 Apple 平台都有。還有一些惡意的程式甚至會偽裝成所謂的「《Pokémon Go》指南」,試圖吸引正在尋找遊戲秘訣的狂熱玩家。 Continue reading “2016年三大讓你荷包失血的行動裝置惡意程式”