疫情升溫用現金怕怕!新冠疫情改變國人支付習慣,避免接觸到現金的行動支付使用遽增。據金管會最新五大行動支付統計,截至2021年3月底止,累計交易金額正式突破5000億元大關,防疫助長行動支付,但也要小心不要踩到資安地雷。
使用手機等行動裝置進行銀行交易和購物非常便利,有時候甚至比使用金融卡更安全。您可以查詢餘額、進行安全的付款、存入支票和轉帳;您甚至可以將簽帳金融卡或信用卡連結至 Apple Pay 或 Google Pay (或是其他付款服務),使用行動錢包和近距離無線通訊技術 (NFC),或是在排隊結帳時掃描 QR 碼,快速輕鬆完成購物。
在您使用這些便利性之前,先檢視以下使用手機或其他行動裝置的小習慣,您做到哪幾項?
購買二手行動裝置時請小心,其中可能含有預先安裝的惡意程式。購買後請回復原廠設定,以確認裝置乾淨。
不要放在後背包外部口袋或皮包,或是留置於公共場所無人看管, 防止行動裝置失竊 。旅遊時,使用行動裝置須謹慎留心周遭,以防他人搶奪。
繼續閱讀
網路詐騙與真實世界犯罪已經開始出現交集。根據趨勢科技今年 5 月所看到的一樁案例,歹徒利用工具破解 iCloud 帳號以解鎖偷來的 iPhone 手機。經過進一步追查之後,我們發現犯罪集團跨界的程度相當深。今日全球手機銷贓市場其實已具備相當的規模,而破解 iCloud 則是其中重要一環。從愛爾蘭、英國到印度、阿根廷及美國,失竊裝置解鎖服務的需求令人乍舌:去年,失竊的 iPhone 手機在東歐國家可賣到 2,100 美元之譜,而美國去年也有 23,000 台 iPhone (總價值 670 萬美元) 在邁阿密國際機場失竊。
假冒 Apple 名義發送一封電子郵件或簡訊給受害者
駭客的手法相當直接,他們假冒 Apple 名義發送一封電子郵件或簡訊給受害者,通知他們失竊的裝置已經尋獲。此時,心急如焚的受害者很可能不假思索就點下訊息隨附的連結,進而連上歹徒用來騙取受害者 iCloud 登入憑證的網頁,得手之後,歹徒就能解鎖偷來的 iPhone 手機。竊賊會透過第三方 iCloud 網路釣魚服務來解鎖裝置。這些 iCloud 網路釣魚服務業者所用的犯罪工具包括:MagicApp、Applekit 與 Find My iPhone (FMI.php) 架構,甚至建立了自動化 iCloud 解鎖流程,裝置一旦解鎖之後,就能賣到地下市場或灰色市場 (gray market)。
這類 iCloud 解鎖服務大多利用社群網站或個人網站來經營。此外,也提供服務轉售或伺服器租用 (替人發送網路釣魚訊息)。這類服務的客戶遍及全球,如:義大利、法國、西班牙、美國、印度、沙烏地阿拉伯、巴西以及菲律賓。雖然我們只研究了三個 iCloud 解鎖應用程式和服務,但網路上可找到的還更多,只要搜尋一下社群媒體、網路廣告和電子商務網站即可。
我們發現的案例牽涉到科索沃、菲律賓、印度和北非等國的數個犯罪集團。開發 AppleKit 的駭客在一個叫「dev-point」的阿拉伯駭客論壇上相當活躍。使用 MagicApp 或 AppleKit 兩套工具的客戶並不一定非用網路釣魚腳本不可,但因為開發人員大多熟悉彼此的產品 (而且成功率頗高),因此許多人都傾向將三者合併使用。
利用網路釣魚騙取登入憑證
以下是歹徒犯案手法示意圖。駭客一旦取得了受害者的 iCloud 帳號,其工具就可以下載 iCloud 帳號來從事其他犯罪活動,然後再將它刪除。
圖 1:駭客犯罪手法示意圖。 繼續閱讀