(吉隆坡7日讯)一名手机应用程式软件开发员撰文称,有些安卓手机应用程式(ANDROID APP)用户在不知觉的情况下,遭转走银行存款,这当中除了是对方指示下载特定手机应用程式做优惠付款之外,另一个安全漏洞是因为下载了开启“未知来源程式”的中国游戏类的手机应用程式?
名为“Ah Hong VS”的手机应用程式员称,华人特别容易进入这个圈套,因为电话安全已经被打开,如果有玩“王者荣耀”、“和平精英”之类的中国游戏类型手机应用程式(APP),你就已经开启了“未知来源程式” (ALLOW INSTALL FROM UNKNOWN RESOURCES) 设定。
他说,这个设定是为了防止安装到恶意软件的,但是既然打开了,那安装恶意软件APP是轻而易举的事情。
他在面子书发文提醒,安卓用户不要安装中国软件,尤其是需要下载“APK”,也不要打开“未知来源程式” (ALLOW INSTALL FROM UNKNOWN RESOURCES)的设定,如果必须打开来安装“王者荣耀”的话,记得安装后,马上关掉有关设定。
他也提醒,大家定期检查手机上的应用程式,没用的话,马上清除掉。
“电子银行(E-BANKING)的认证照片要记起来 没看到照片都不是真的E-BANKING PORTAL。”
他也提醒,记得去检查哪个手机应用程式有短信(SMS PERMISSION) 权限使用,确保只开放这个功能给你信任的手机应用程式。
他也提醒,安卓用户只安装“PLAY STORE”上的手机应用程式,没有进“PLAY STORE” 的手机应用程式不要安装。
他在这篇文章只是写安卓(ANDROID APP),但他也预告,下次会写IOS程式。
另一方面,他提到,在安装有“APK”的手机应用程式后,就需要登记一个户口,这里还很清晰和正常手机应用程式再正常不过了,到了短信( SMS) 身份验证 (VERIFICATION )时,就会出现确认短信权限(REQUEST FOR SMS PEMISSION),否则就无法再做下一步(CONTINUE),而当授权了短信权限给APP后,有关的APP就可以阅读及删除你所收到的短信。
他说,当逛完且是时候付款时,所去到的支付网关(Payment Gateway) 都是假的,不管是信用卡、FPX或银行页面的电子支付界面都是假的,无论输入什么东西都是过不到的,显示“正在维修”(UNDER MAINTANENCE ),接著就指示使用另外一张银行卡,这时会有很多人继续用另外的户口及另外的卡来继续刷、继续付款,但都还是付不到。
他补充,这时,对方的客服回来安慰表示系统正在升级,请稍后再试,但重点是,这时很多时候是用户亲自把 用户名称及密码(“USERNAME”及“ PASSWORD”) 交出去,这时就等待诈骗集团几时要动手而已。
他说,这时候有好几种方法 好让他们拿到有关用户的OTP,即:并非每个APP 都可以在用户电话的后台运行,因用户电话拥有省电功能把任何后台程式给终止掉,所以对方为了确认他们的APP还在你的电话后台运行,会特意传一个短信以确认他们的系统有连接的,若收到了这样的短信,马上封杀所有应用程式,并检查APP清单里都是对的APP。
他说,对方收到短信后,基本上已经确认了可以读取用户的短信,就会开始行动,登入你的账号更改你的绑定手机密码,对方不是转账,而是直接更改绑定手机的号码,一旦更改了然后获取到OTP接下来的行动,对方都不需要你的手机里的OTP来转账,而对方怎么转基本上用户都不会知道,直到检查银行户口的时候才发现。
“这时候你会怀疑,为什么没收到OTP钱就被转走了?记得一开始说的,APP已经拥有SMS PERMISSION(短信授权)来READ(阅读)和DELETE(删除),他们READ(阅读)了你的SMS(短信)直接DELETE(删除)掉,神不知鬼不觉。”
为此,他补充,对方其实只需要读取用户电话的一次更改绑定电话的OTP SMS,基本上就可以为所欲为了。