Re: [爆卦] 國泰世華-詐騙簡訊(發錢
前文恕刪,
今天看到有受害者出來說明事發經過,
感覺這次詐騙真的很難防,
一般不懂的人會乖乖按照指示做。
--
去(2020)年12月,我曾分析駭客可能利用哪些手法盜轉網銀存款,沒想到類似的簡訊詐
騙在今年春節前又再度出現。詐騙集團大量發送簡訊,偽裝成台新銀行通知客戶網銀APP
更新,誘使受害人點擊連結輸入網銀帳號密碼,進而盜走存款。
一般人若遭到詐騙,為了面子通常會低調處理,但此案受害人之一Asa Chen卻選擇在臉書
上描述慘痛經歷,希望不要有人再因此上當。
我十分欽佩Asa為了保護其他民眾而勇敢公開分享的行徑,因此私訊她請教詳細事發過程
,經當事人確認且同意公開,讓更多人可以了解詐騙套路。並附上簡單自保之道,以及銀
行該如何保護客戶的一些建議。
詳細事發經過
儘管媒體已報導,但內容與實際發生狀況仍有些許落差,因此先來看看此次詐騙發生的經
過。
詳細事發流程
https://i.imgur.com/3HVng6s.jpg
2月5日晚上六點多,Asa收到詐騙簡訊,內容提到台新網銀版本更新所以要求立即上網驗
證身分,同時附上驗證網址。點下連結打開看似台新的釣魚網頁,Asa輸入了身分證、網
銀帳號、密碼,並按下送出。這組登入網銀的資訊,就在此時傳送了給詐騙集團設置的伺
服器。
能夠登入網銀只是整個計畫的第一步,接下來的重點在於如何把錢轉出來。如果隨便找一
台手機,即使用Asa帳號登入網銀,也只能進行「約定轉帳」,意即錢只能轉給Asa事先約
定好的帳戶。因此,若要將錢轉至詐騙集團人頭戶,勢必得啟用「非約定轉帳」功能。
由此份台新官方說明可看出,只要把做案用手機變成「信任裝置」,就可以執行非約定轉
帳;而其中一種方式,是由台新發送「啟用密碼」簡訊認證。詐騙集團只要取得「啟用密
碼」,並且在做案用手機輸入,將手機變身為信任裝置,即可為所欲為,堪稱「得密碼者
得天下」。
問題是,這個啟用密碼只會被傳到Asa當初留給台新的手機,而且10分鐘內未輸入立即失
效,詐騙集團該如何拿到?
最重要也最困難的這一步,詐騙集團巧妙善用了前面的釣魚網頁,搭配現今最流行的OTP
認證模式(透過簡訊或電郵傳送的一次性密碼)。Asa送出帳號密碼後,釣魚網頁跳轉到
下一頁,要求輸入簡訊認證碼確認身分。此時,詐騙集團趕緊利用Asa帳號登入網銀、申
請裝置認證,台新也確實發出「啟用密碼」簡訊到Asa手機。
簡訊認證碼
https://i.imgur.com/P9hdrwn.jpg
若你是Asa,網頁只差輸入簡訊密碼就完成,而剛好又傳來一封附有OTP的簡訊,是不是很
直覺會把密碼輸入網頁了?能夠分辨這個簡訊密碼是「綁定裝置用」的客戶有多少?
一旦詐騙集團綁定手機,後面轉帳給人頭戶的過程就不需贅述。根據規定,非約定轉帳每
筆上限5萬、每日上限10萬、每月上限20萬。由於Asa有兩個帳號,加上詐騙集團又在半夜
跨日前後轉帳,因此最多可轉出40萬(兩帳號 x 每日10萬 x 2日)。
https://www.thenewslens.com/article/147336
--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 36.229.4.72 (臺灣)
※ 文章網址: https://www.ptt.cc/bbs/Gossiping/M.1613495925.A.5E4.html
→
02/17 01:23,
3年前
, 1F
02/17 01:23, 1F
推
02/17 01:28,
3年前
, 2F
02/17 01:28, 2F
推
02/17 01:33,
3年前
, 3F
02/17 01:33, 3F
推
02/17 01:33,
3年前
, 4F
02/17 01:33, 4F
→
02/17 01:47,
3年前
, 5F
02/17 01:47, 5F
推
02/17 03:51,
3年前
, 6F
02/17 03:51, 6F
推
02/17 11:22,
3年前
, 7F
02/17 11:22, 7F
討論串 (同標題文章)
完整討論串 (本文為第 2 之 2 篇):