各式各样,花样多多的网络欺诈及盗提骗案,是现下国人最为关注的议题,尽管政府机构包括警方、国行、银行公会都已陆续发话,但网诈天天上演人人自危,受害者接二连三分享不幸经过,眼下唯一能做的,就只有加强警惕及防范来自保钱财。

《988早点up》今早再开题让公众分享被盗刷/盗提经历的同时,也再次邀请LGMS首席执行员和资讯安全顾问冯宗福教路,分享APK骗局及如何加强防范;而与此同时,《星报》也报道,不少个资料被拿到暗网“线上卖” ,而泄露个资的源头其实是“民众自己”,因为,这是很多人在社媒上过度公开自己的资料所致。

《星报》报道,网上有这些出售个人资料的暗网,可以让买家通过身分证号码搜索个人资料,一经输入便可呈现全名、性别、生日日期与住家地址等。

若买家愿意支付费用,则可以继续获得更详细的个资,包括MySejahtera里的疫苗接种信息、贷款、信用卡申请等,并指这是卖家利用常见的情报工具——OSINT所做,大多是从个人社交媒体账号上所透露的资讯所得。

报道称,一名数据库卖家自称他拥有国民登记局资料库,包括2250万名从1940至2004年出生,多达20项大马人的身分证资料供出售;如今,自称“Cyber Guardian”的推特用户@Radz1112更发现一个综合各非法管道搜集的个人资料网站,只须简单个人资料就可以搜出各资讯。

让他惊讶的是,这些从不同管道搜集而来的个人资料,也包括从个人社交媒体账号里搜来的资料,因此他劝请社交媒体用户,不要透露太多真实个人资料,包括真实姓名、生日日期、地址甚至车牌号码。

因此,他建议民众删除自己在社交媒体账号上公布的个人资料,保护自己的个资不会被出售做为非法用途,须删除的资料包括真实姓名、出生日期、车牌和出生地点/日期等。

另一方面,不少网民也在今早参与《988早点up》的call in话题,分享他们过去被盗刷信用卡、资料被盗等等的不幸遭遇,其中有不少网民说,他们的信用卡及身份资料被盗用,都是在半夜以及毫不知情下发生的,直至银行来电确认才恍然大悟。

一些人指他们在发现自己的卡被盗刷后,所幸能及时跟银行交涉而立刻停卡,而银行经调查后也不用他们承担,一些人也顺利的把钱追回来。

一名在银行任职的听众也提醒民众,绝对不要分享OTP和密码,同时要记得登出(log out)账户,更不要使用公共wifi,因为这些都容易导致个资外泄。

那么,卡主的信用卡是在怎样情况下,遭第三方拿到个资呢?

对此,冯宗福说,这种情况通常有两个:

1.餐厅刷卡时候,你在买单的时候会把信用卡交给第三方或服务员,这种情况有可能在自己没见证之下,对方把卡资料复制。

2.我们把信用卡绑定在第三方平台,而在绑定后,第三方平台可能遭骇客入侵并偷掉资料。

“这两种在国内是较为普遍的,不过,我要强调的是,就算黑客拿到我们信用卡资料或扣账卡资料,他们其实在国内非常难用到,因为,马来西亚通常用EMV晶片来造卡,即便拿到资料也不能在本地一些实体店刷,所以,盗卡者通常拿到卡后,他们可能在一些不需要认证的外国网站去刷去买,如一般可以看到的卖游戏服务或者小额产品等,一般被刷的数额不会太大,都是几百块上下。”

针对如何确保手机安全性部分,冯宗福建议,首先,民众务必要培养一个理性的上网习惯。

“第一,我们不要用手机去下载一些不需要的软件,如果是喜欢打游戏或看电视剧,如果可以,就是另一部手机来玩游戏或看电视剧。不要把我们日常用的手机安装第三方软件,同时也尽可能不用免费公共wifi。”

他说,骇客要用假wifi来吸引受害者是非常容易的,一旦民众连接上假wifi后,骇客就可通过假wifi来推一些软件让受害者去安装后就可为所欲为了,而另一点就是,手机应该定时检查系统安全更新,尽可能去应用这些补丁(applied patch)。

冯宗福也重申,APK应用只能在安卓手机上执行,如果民众安装这个APK,可能就是噩梦的开始,因为APK看起来跟正规软件是一样的。

“诈骗分子先会要求受害者通过相关app去进行线上转账,当受害者看到界面并点击进入他们所属的线上银行,在log in登录时,他们的用户名(username)和密码(password)同一时间,就发送给诈骗分子。”

他说,这个时候的log in就会失败,因为,民众看到的界面其实是假的,是诈骗分子做来套取受害者资料及银行密码而已,然后,如果受害者继续去尝试登录其他银行的话,换言之,其他银行用户名及密码,就这样同时曝露给了诈骗分子。

“诈骗分子的APK的另外一个功能,就是读取受害者手机SMS,也就是我们平常所用的OTP,有些也是可以把SMS删除。”

他说,骇客在有了受害者用户名和密码后,他们可以在自己的手机上,注册一个跟受害者银行一模一样的账户,这时候银行就发出一个OTP给受害者电话,但由于受害者电话已安装了诈骗分子的APP,所以,这个APP可以把OTP隐蔽掉,甚至APP收到OTP后,把密码转给诈骗分子。

“诈骗分子就通过密码,顺利的在自己手机上安装好“受害者的账户”,接着就可以去账户掏空里面的钱了。如果受害者面对这个情况,没有收到任何短信通知,受害者可以要求银行提供他们有发出OTP或SMS的证明,然后再跟银行协商如何解决。”

冯宗福也提醒,骇客也会惯常用免费wifi管道,来窃取用户名和密码,不过,即便骇客手上有用户名密码,他也是不可能去做转账,因为,他们还是需要手机上的那个SMS。

“所以,最主要情况还是受害者可能真的下载或安装了某些软件,这些软件未必是近期所下载,如果之前或早期安装过这些有问题的软件,骇客还是可以得到受害者的SMS。”

(资讯综合整理自988早点up /星报)