疫情期間行動銀行服務用量大增,FBI警告駭客可能發動針對性攻擊以竊取金融憑證

您有使用過行動支付或是行動銀行的服務嗎? 使用行動裝置進行銀行交易和購物,具備強大又便利的功能,而且在某些方面比使用金融卡更安全。您可以查詢餘額、進行安全的付款、存入支票和轉帳;您甚至可以將簽帳金融卡或信用卡連結至 Apple Pay 或 Google Pay (或是其他付款服務如微信支付、台灣Pay、LINE Pay…),使用行動錢包和近距離無線通訊技術 (NFC),或是在排隊結帳時掃描 QR 碼,快速輕鬆完成購物。

但如果您不清楚使用的方式、時間點和條件的話,行動銀行與購物功能也可能暗藏陷阱、讓駭客有機可趁。FBI近日表示,在居家隔離及社交距離的政策下,人們將愈來愈依賴行動銀行服務,預期駭客也會企圖透過各種不同的技術,來攻擊這些新的行動銀行用戶,例如金融木馬或是假的金融程式,舉例來說,銀行木馬可能會在用戶啟動銀行程式時,模仿並創立一個假的登錄頁面,覆蓋在原本的金融程式上,當用戶輸入帳號密碼時,就可趁機竊取金融憑證。此外,駭客也可能打造一個假冒合法金融機構的銀行App,誘導用戶在假程式上輸入憑證。

FBI提出三點建議來避免受駭:

1. 需從官方應用程式商店等可靠來源 ( Apple Store或Google Play ),或直接從銀行網站下載手機App。

2. 下載App時,要注意這些程式是否隱藏了金融木馬,它可能隱藏在遊戲或工具程式中,可用掃毒工具進行檢查。

3. 使用銀行軟體時,啟用雙因素認證及強大的密碼,提高駭客入侵的難度

 

除此之外,人們在使用行動銀行或行動支付購物時,還要注意那些地方?才不會讓快樂的購物變成一場惡夢,以下四點提供參考:

1. 易受入侵的行動裝置:危險的網站、電子郵件網路釣魚和通訊應用程式等可能會下載惡意軟體並感染裝置,讓您的行動裝置遭到入侵,當您點選郵件附件時,就會啟動感染程序。經過越獄的裝置也很容易受到惡意軟體感染,尤其是在開機時,因為越獄裝置中用來驗證作業系統安全載入的加密鏈已遭到破壞。

2. 不安全或受感染的瀏覽器或應用程式,以及虛假銀行應用程式:行動銀行的交易可透過您的瀏覽器或銀行應用程式進行;利用瀏覽器進行的銀行交易潛藏風險,有些木馬程式、指令碼注入或漏洞攻擊套件,藉由偷渡式下載來感染您的設備。銀行應用程式有時也存在風險,因為應用程式商店中也含有虛假銀行應用程式,或者受感染的程式會惡意覆蓋正當的 Android 銀行應用程式,藉此竊取您的登入資料。不安全的瀏覽器或應用程式也容易受到跨網站指令碼或中間人攻擊,而設計不良的銀行應用程式可能會包含不安全的連結,也可能不會檢查 SSL 憑證的有效性。另外請注意,將密碼儲存於瀏覽器中也可能導致資料遭竊和帳戶遭到入侵。

3. 遭到入侵的網路:公共場所的 Wi-Fi 熱點 (尤其是在購物中心、廣場、旅館或咖啡廳) 容易受到駭客的惡意監控或「網路監聽」,特別是未經 WPA2-PSK (AES) 加密及要求輸入密碼的 Wi-Fi,更容易中標;您也可能不小心登入附近駭客電腦所運作的山寨熱點,一旦登入後,資料就可能遭竊,進而導致銀行帳戶遭到入侵。

4. 不安全/已遭竊的帳戶登入資料:網路犯罪分子最喜歡使用惡作劇電子郵件這招,信中會表示您的銀行帳戶遭駭,需要登入以確認或變更密碼;信中會提供連結或按鈕,將您引導至模仿銀行的假網站,並利用該網站記錄您登入銀行時的按鍵動作、名稱和密碼,您的身分和金錢就會因此曝光受害。

詳文請見ithome 原文新聞稿