近来几乎每天都有新闻报导,关于银行用户存款无故被盗走的情况。这使得坊间人心惶惶,大家都担心自己成为下一个受害者。
昨日(6月6日)更是新添一起存款被盗案。这次骇客仅用了30秒,通过7次汇款成功盗取近3万5000令吉。事主王先生欲哭无泪,万万没想到自己一早起床,银行户头就被盗剩下1令吉。
对此,一位在面子书署名为Ah Hong VS的资深软件程序员发布一篇文章,向大众解释近来许多人存款被盗的现象,以及一般人该如何防范被盗。
为什么没收到OTP,钱还是被转走?
答:这种情况很有可能是因为我们安装了来历不明的App,以Android手机为例,我们为了安装非Google Play Store的应用程序(APK),这会开启“Allow install from unknown resources”的设定,这个设定让我们得以从第三方应用安装App,但也形成了一个漏洞。
这是因为你下载了APK应用程序之后,在登入的过程需要进行SMS身份验证 (Request for SMS Permission)。当你授权了SMS Permission给这个App的时候,这个App就可以read和delete 你所受到的SMS。
骇客阅读了你的SMS后直接delete掉,神不知鬼不觉。他们其实只需要读取你的电话的一次更改绑定电话的OTP sms,他们基本上就能为所欲为了。这就是为什么大家都在complain没收到OTP,钱却被转走。
为什么最近存款被盗的新闻主角,大多数都是华人?
答:这是因为大多数是华人都有玩王者荣耀、和平精英等各种中国游戏App。只要你下载了这些中国游戏,就已经开启了“Allow install from unknown resources” 设定了。这个设定是为了防止安装到恶意软件的,但是既然打开了,那安装恶意软件App就会变得轻而易举。
一旦打开这个设定(Allow install from unknown resources )不关闭,就相当于给了那些可疑App一个通行证,在你不知不觉的情况下偷取钱财,所以重点就是记得要关。
简而言之,华人中招的几率看似比其他种族更高,也是因为华人经常会下载各种中国软件。
普通人该如何防范?
1. 不要安装中国软件!这个很重要!尤其是下载APK的。不要打开“Allow install from unknown resources”的设定。
2. 如果必须打开“Allow install from unknown resources”来安装王者荣耀的话,记得安装后马上关掉!
3. 定期检查手机上的App。没用的App马上清除掉。
4. E-banking 的认证照片要记起来。只要没看到照片,都不是真的E-banking portal。
5. SMS permission记得去检查哪个app有权限使用,确保你只开放这个功能给你信任的app
6. 只安装Play store上的App。没有在Playstore的App不要安装。
