最近較流行的智慧型手機詐騙,大多集中在像 Facebook、Skype 以及 Line 這類型通訊軟體上,尤其是 Line,他們家的安全性極低無比,近來老是能在臉書上發現又有臉友(Face Friends)被駭的消息[1]。
為此,我特別偽裝成詐騙集團,到處發詐騙訊息給我在 Line 上的朋友,目的是要訓練他們平日的安全防護意識。
像我最新的一封訊息內容就是:「親愛的客戶您好,由於您的電子憑證已過期,為了您的網路安全著想,請立即至 http://oon.me/vedfolnir 更新憑證,謝謝。」
這封訊息也獲得頗豐富的眾多回應,嗯,我只能說相當有趣(翻桌,有個阿呆竟然叫我跳艷舞給他看)。
常見手機詐騙類型的兩種類型
第一種,入侵和假扮
第一種,詐騙集團透過入侵 Line 帳號,取得控制權後,用盜用帳號委託該帳號的「真實朋友」購買 GASH 遊戲點數卡或是接收中華電信的小額付款確認簡訊。
如果是點數卡的詐騙手法,成功的定義在該真實朋友真的跑去購買點數卡,並將刮開後的驗證碼資訊透過相機拍照或是文字傳送等方式,讓盜用帳號的人得知。
如果是小額付款確認簡訊的詐騙手法,成功的定義在該真實朋友將收到的簡訊驗證碼讓對方知道。
由於一般亂發垃圾訊息的人不會知道你的手機號碼,因此大多會在訊息聊天中一再詢問你的手機號碼[2],並使用手機壞掉或是急用等藉口,請大家多加注意哦。
這兩種詐騙手法由於很可能被帳號的真實用戶發現,並重置帳號密碼,因此在詐騙過程中會出現口語的急迫性與容易轉換目標對象這兩種特性,還算容易辨識[3]。
第二種,無差別垃圾訊息攻擊
在這種詐騙手法中,詐騙集團甚至不用入侵帳號,他們會自創一個新帳號,然後無差別的到處亂發垃圾訊息。
例如筆者朋友羊好愚就收到一則訊息,內容寫道:「您的民事賠償訴訟通知單. [台北地院] https://oon.me/ZvneH」
當你手動點入簡訊中的縮網址後,會連結到如下圖所示的 Dropbox 檔案庫,裡面是一個偽裝名稱為「通知單」的 APK 檔案(Application Package File,智慧型手機專用的程式檔案),檔案大小是 260KB。
另外,水美眉也收到一封類似的簡訊,內容寫道:「您正在申請網上支付103年12月電費共計9800元,若非本人操作,請查看電子憑證進行取消 https://oon.me/ZvneH」
點入該縮網址(已替換安全連結)的內容跟上圖類似,是 Dropbox 底下,名為「憑證」的 APK 檔案,檔案大小是 108.01 KB。
這也是我一再跟朋友說,不要隨便替家人、朋友的手機與平板取得 Root 權限(又稱越獄、刷機)的原因。
因為你可能懂得系統運作的原理,知道如何保護系統安全,但是你的家人、朋友卻不見得懂,而他們就是可能接觸詐騙集團設下惡意陷阱的高危險群。
同樣的,我不建議小朋友接觸得到的智慧型手機與平板電腦取得 Root 權限也是同理,因為許多小遊戲都會在遊戲過程中潛藏推薦更多小遊戲,而魔鬼就藏在細節中,大多數被推薦的小遊戲都是安裝在私人伺服器上,未經過 Google Android Play 團隊的驗證程序,讓惡意程序隨時可能被下載到你的手機上並且偷偷執行[4]。
這一類型詐騙手法的成功定義,就是手機或平板電腦在取得 Root 權限的狀態下,開啟網站,下載並執行該 APK 檔案[5]。
但是這也不保證沒有取得 Root 權限的手機就不會被入侵,尤其現在的部分廠商甚至會直接替你開通 Root 權限,為的就是增加賣點。
檢查過前面提到的 APK 檔案後,我發現來源伺服器被架設在俄羅斯聯邦(Russian Federation)。
中華民國政府若想追查也是困難重重。
目前已知的危害,將造成用戶手機會不斷將自己的手機內容與隱私上傳到駭客的伺服器中,造成機密外洩與被利用的危害。
給詐騙集團的建議(被毆飛)
詐騙集團們忽略了一件事情,前面提到的兩種詐騙模型其實可以進行互惠合作。
既然有團體成功入侵真實帳號,又有駭客設計出完整的 APK 後門,只要他們合作, 就有更多的應用,例如,朋友 A 傳送 APK 連結給朋友 B,並稱這是他設計的最新遊戲,希望幫忙做個測試。
噹啷,我相信很多人都願意去執行的。
寫到最後才突然想到,為何我的朋友都沒人被盜用帳號,傳詐騙訊息給我?害我都得拿朋友的二手資料來寫這篇文章。
補充更新
完成這篇文章後幾個小時,我發現羊好愚收到的那封詐騙簡訊的縮網址內容產生變化,當再次連入時發現該檔案已經被 Dropbox 給封鎖。
官方理由竟然是該公開檔案造成的流量太大,這可真是嚇壞寶寶我了,讓人不禁好奇到底有多人下載過該檔案並且給騙到?
反觀水美眉的縮網址連結,對應的檔案是七周前上傳,而且沒被禁呢。(這意思是水美眉的文案輸給羊好愚嗎?)
參考文獻
- 通訊軟體被大量盜用的狀況,之前在 Skype 上也曾發生過,當時在《SKYPE 帳號被盜用事件之分析與說明》這篇文章分析中指出官方系統有漏洞。過了一段時間後,這個漏洞才被補救起來(也是被 Microsoft 微軟收購後那段時期)。
- 另一種案例模型是透過網頁達成目的,像先前在《[緊急通知] 臉書 Facebook 的新詐騙手法 利用假比賽資訊騙取簡訊認證碼》就提過假比賽真登錄與簡訊驗證的手法,就是為了取得對應的驗證碼資訊。
- 在《科技陷阱:詐騙集團與人性陷阱 溫暖萬歲 Line Facebook Messanger》這篇文章曾指出如何確認網路另一端的朋友是真的朋友。
- 資訊安全:判斷下載的智慧型手機 Apps 是否安全。
- 以這類型的詐騙手法來看,使用 Apple 的 iOS 系統就顯得相對安全許多,多數攻擊都暫時針對 Android 而來。
發佈留言