(圖/pixabay)
網路資安團隊 ESET 揭曉最新的 Android 詐騙手法,透過民眾對於線上購物的習慣,設立冒牌 App 竊取銀行登入資料,目前主要現身於馬來西亞,未來手法可能拓展至全球各國。
研究指出,駭客主要透過偽裝成合法的服務、購物類 App,先設立「假網站」,與多數詐騙頁面不同的是,用戶無法直接透過網站直接完成訂單,會被要求下載冒牌 App,詐騙集團會宣稱上架於 Google Play,藉此降低民眾戒心。
ESET 指出,在馬來西亞當地的 Grabmaid、Maria's Cleaning、Maid4u、YourMaid、Maideasy、PetsMore 以及 MaidACal 等企業,都遭到類似的手法被仿造假 App,涵蓋了居家清潔、健康諮詢、寵物等等相關服務,其中有 5 家根本沒有在 Google Play 上架 App。
當用戶下載冒牌 App 進行服務預約、購物時,駭客會從伺服器接收銀行資訊,並透過 App 的授權,去攔截手機中的 2FA 驗證簡訊,進而完成轉帳或是登入銀行帳號獲取錢財。ESET 預計,同樣的手法未來也可能用在偷取信用卡資料。
ESET 提醒,建議民眾進入任何網站,都要提供警覺,此外盡量在 Google Play 下載 App,不要安裝來路不明的程式,並使用軟體、硬體的 2FA 認證。
《你可能還想看》