【科技Talk】小心陌生来电 钱财随时被骇客“钓”走
坊间接二连三出现盗款事件,弄得市民人心惶惶,担心银行户口的钱财会随时“不翼而飞”。面对网络犯罪日益猖獗,大马交易所和丰隆投资银行(HLIB)日前携手举办题为《在数码经济世界如何应对网络威胁》的网络安全座谈,邀请多位专家分享观点,从不同的面向去降低网络攻击风险。
报道:本刊 陈星彤、林德成
摄影:本报 陈启基
ADVERTISEMENT
根据“马来西亚网络安全策略(MCSS)”释出2020至2024年的报告,大马有可能因网络攻击损失高达510亿令吉。截至今天,个资外泄的争议不曾停止,而为了窃取民众资料,骇客冒充军警诈骗、拦截银行转账通知,层出不穷的网络攻击手法,让大众防不胜防。
LGMS创办人兼网络安全专家冯宗福提醒大众,若收到陌生来电时必须保持警惕,即便对方掌握了民众的个人资料,言辞具说服力,但未必是他的真实身分。冯宗福称:“打电话的人可以说是警察或税务人员,虽然他们可以说出你的地址和身分证号码,但有可能是罪犯伪装的。”他提醒,大众个资无可避免地泄露,任谁都会不小心误入网络钓鱼骗局中。
透过研究恶意程式,其团队也发现骇客越来越“聪明”。冯宗福以网络银行为例,早前恶意程式只能读取用户名称、密码或简讯,如今“进化”成有拦截或删除简讯的功能。这也是为何受害者投诉,不曾收到银行发送一次性密码(OTP)和转账验证码(TAC)短讯,在毫不知情的情况下储蓄被转走。他解释道:“其实用户确实收到短讯,只不过被恶意程式(Malware)中途拦截了。”
骇客如何一步步靠近?
冯宗福表示,虽然大多受害者喊冤,声称没有下载陌生应用程式。惟他强调,你我身旁不乏让骇客有机可乘的机会,比方说一些免费的网络热点也许是假冒的。“你到了公共场所要用免费Wi-Fi(网络),或许这就是恶意程式(入侵)的机会。”
透过点击假冒的网络热点,骇客可以取得账户的名字和密码。不过,这还不足以让他们伸手到用户的储蓄户头。因此,民众在登入网络热点后,骇客会要求他们下载手机应用程式。冯宗福解释:“举例来说,恶意程式会检测到你是安卓用户,要你下载APK(安卓应用程式的安装包),否则不给你用网络。”
下载APK后,大多用户没细读“条款及条件”便点击同意,殊不知却为恶意程式开了方便之门。这时,一旦用户做任何银行网上交易,恶意程式可以立即读取银行送来的OTP。冯宗福强调,在众多银行储蓄被转走的案件中,不曾查出是因银行网络安全漏洞所致。“在调查恶意程式如何触及受害者的过程中,我们发现都是用户下载了不当的应用程式所致。”
“经手人”太多 增加调查难度
不少受害者投诉银行和警方办案时间太长,丰隆银行集团董事经理兼总执行长多米尼.富达(Domenic Fuda)不讳言,类似诈骗案具一定的复杂度,在处理上确实会花一段时间。为了检查受害者的手机是否装有恶意软体,银行会特别要求受害者提供手机,以进行数位鉴识。
“试想想,若要提供手机给网络安全公司作数位鉴识,必定会耗上一定的时间。”惟他强调,即便未有确凿的调查结果,银行方也会赶在3个工作日内,告诉受害者最新进展。
至于可否直接从银行系统查看被转走金额的流向,富达坦言不可能。他就过往的案件说明,诈骗分子善于伪装,多重身分抹去了数位足迹,“受害者被骗走的储蓄或许转入A银行、再去B、C银行或更多,一旦取出现金后更难追踪。”
强调银行网络安全防备充足 惟消费者必须保持警惕
为了打击网络犯罪,丰隆银行成立了Red Team等网络安全团队。富达称,单靠银行的努力,是不足应付日益“进化”的网络犯罪分子,还需要消费者配合。
他举例,许多受害者误入网络犯罪分子圈套,不慎登入与真网站外观和名字相似的虚假网站。富达劝大众,在使用银行线上转账等服务前,再三确认个人图像(Profile Image)和安全短语(Security Phase)是否正确。
此外,丰隆银行陆续推出一系列的网络安全措施,包含目前已取消短讯发送验证码服务。未来,该银行也会有“冷静期”(cooling-off)步骤,“申请转账的用户,有或许一天的冷静期,才决定是否真的要转这笔钱。”民众有充裕时间判断是否落入了网络犯罪的圈套。富达补充:“消费者在做任何行动前,都必须先警惕(Awas)、然后思考(Fikir),再判断是否要喊停(Blok)。”
“在网购或使用线上银行服务时,花几秒钟看一看网站标志、banner等是不是正确的,辨认网站真伪。”如今,银行加强了网络安全举措,间接也会让线上服务不像以往这么迅速。但他认为这是为了保障用户的利益,而必须采取的措施,“最重要是确保交易安全。”
诈骗分子永不用真实身分
武吉阿曼商业罪案调查部(CCID)助理警监莫哈末立端(ASP Mohd Riduan bin Abd Majid)在网络和多媒体犯罪调查小组已有14年经验。他坦言,现在的科技发展越来越复杂。在调查时,警方需要多方的协助,像是银行、电信公司、大马通讯及多媒体委员会(MCMC)、大马网络安全机构和科技公司的技术支援。
回顾2008至2010年,如果发生诈骗事件,警方很容易取证,可以去呼叫中心(call center)收集资料。可是,在数码时代,诈骗分子会利用云端技术躲过危机,然后采用特定的安全措施,又与外界合作,有层层叠叠的关卡防护,令到警方很难突破。
需知诈骗分子永远是不会暴露自己的真实身分,他说,诈骗集团会使用互联网电话服务(VoIP),冒充银行、警方、移民局单位的电话号码,让民众堕入骗局,短短几分钟内痛失钱财。因此,警方会和互联网服务供应商(ISP)紧密联系,请求他们确认诈骗集团的位置或IP地址,然后实施各种封锁,不让他们继续行骗。
除了VoIP,他们还会用VPN、代理服务器(Proxy Server)隐藏网络“足迹”。由于这些VPN服务商不是本地公司,警方需要向这些外国服务商索取资料。可是,这些VPN服务商是会为用户的隐私权捍卫到底,他们未必愿意和执法单位合作。
遭勒索,不要交赎金
与此同时,犯罪集团会用不同的域名(Domain)在网络撒网“钓鱼” 。当警方阻断一个域名,另一边厢又会冒出一个新的域名。“他们其实已经预先准备了上百个域名,所以你们会不断接收到钓鱼(邮件)。”对此,警方提醒民众点开网页时,即使网页界面设计没有任何可疑,也不要完全松懈。先确认网址拼写是否正确无误,接着网址前面是否有“https”,因为“https”是指经过加密和验证的安全链接。
既然警方有网络和多媒体犯罪调查小组,犯罪集团也懂得反警方追踪和取证。当警方充公他们的电脑,未必找到证据,有时会一无所获。当谈及令人闻风丧胆的勒索病毒,莫哈末立端声称,警方不鼓励受害者支付赎金。一般上,骇客会抓住受害者的害怕心理,设下时限,要求对方迅速支付一笔庞大赎金,不然会公开手上的机密资料。然而,这可能是陷阱。即使缴付赎金,对方未必会解除病毒危机,反而会不停要更多赎金。
网购欺诈案最严重
根据莫哈末立端展示的数据,从2019年至2022年,我国民众遭遇了很多网购相关的欺骗案。在2019年,警方接获3512宗投报,受害者损失大约2804万1146令吉;2020年则增加至5850宗,损失金额约4165万1705令吉。2021年最为严峻,或许是行动管制令缘故,许多人居家办公和网购商品,结果不慎掉入网购欺诈陷阱。那年一共有9602宗投报,损失高达7445万2045令吉;而在2022年虽然有回落,一共有8018宗投报,但损失金额却高达1亿1484万6974令吉。
“这些诈骗分子会在社交媒体打虚假广告,比如脸书、IG、WhatsApp和其他的平台。民众相信这些广告,然后就点击下单。当他们下单付款,这些款项会汇入到钱骡(money mule)的戶头。我们逮捕了这些钱骡,就会控上法庭。”
他说,现在犯罪分子在网上容易获取骇客工具,只要搜索就会找到相关资料和教程。民众上网时必须时刻保持警惕,保护好自己的个人资料。
相关稿件: 【科技Talk】当诈骗犯真好赚 NFT诈骗一年损失逾亿美元 【科技简讯】澳洲推出反SMS诈骗条例 要求电讯公司拦截骗徒
ADVERTISEMENT
热门新闻
百格视频
ADVERTISEMENT
