科技詐騙: 閒聊1+1>2的智慧型手機與網路詐騙手法

[dropcap]最[/dropcap]近較流行的智慧型手機詐騙,大多集中在像 Facebook、Skype 以及 Line 這類型通訊軟體上,尤其是 Line,他們家的安全性極低無比,近來老是能在臉書上發現又有臉友(Face Friends)被駭的消息[1]。

為此,我特別偽裝成詐騙集團,到處發詐騙訊息給我在 Line 上的朋友,目的是要訓練他們平日的安全防護意識。像我最新的一封訊息內容就是:

「親愛的客戶您好,由於您的電子憑證已過期,為了您的網路安全著想,請立即至 http://goo.gl/J2EEvn 更新憑證,謝謝。」

而得到的眾多回應……… 也相當有趣(翻桌,哪個阿呆竟然叫我跳艷舞給他看的 😈 )。

目前常見的手機詐騙類型有兩種:

第一種,詐騙集團透過入侵 Line 帳號,取得控制權後,用盜用帳號委託該帳號的「真實朋友」購買 GASH 遊戲點數卡或是接收中華電信的小額付款確認簡訊。

如果是點數卡的詐騙手法,成功的定義在該真實朋友真的跑去購買點數卡,並將刮開後的驗證碼資訊透過相機拍照或是文字傳送等方式,讓盜用帳號的人得知。

如果是小額付款確認簡訊的詐騙手法,成功的定義在該真實朋友將收到的簡訊驗證碼讓對方知道。而由於一般亂發垃圾訊息的人不會知道你的手機號碼,因此大多會在訊息聊天中一再詢問你的手機號碼[2],並使用手機壞掉或是急用等藉口,請大家多加注意哦。

這兩種詐騙手法由於很可能被帳號的真實用戶發現,並重置帳號密碼,因此會產生口氣上的急迫性與容易轉換目標對象這兩種特性,還算容易辨識[3]。

第二種,詐騙集團甚至不用入侵帳號,他們會自創一個新帳號,然後無差別的到處亂發垃圾訊息。例如我朋友 闇陰羊 就剛收到一則訊息,內容是:

 「您的民事賠償訴訟通知單.[台北地院] http://goo.gl/aS6Zt」

其中縮網址連結點入後[4],會連結到如下圖所示的 Dropbox 檔案庫,裡面是一個偽裝名稱為「通知單」的 APK 檔案(Application Package File, 應用程序包文件),檔案大小是 260KB。

apk-dropbox-網路詐騙-縮連結-通知單

網路詐騙:通知單.apk

另外,水美眉也收到一封類似的簡訊,內容是:

「您正在申請網上支付103年12月電費共計9800元,若非本人操作,請查看電子憑證進行取消 http://goo.gl/aS6Zt」

點入該縮網址[4]的內容跟上圖類似,是 Dropbox 底下,名為「憑證」的 APK 檔案,檔案大小是 108.01 KB。

這也是我一再跟朋友說,不要隨便替家人、朋友的手機與平板取得 Root 權限(又稱越獄、刷機)的原因。因為你可能懂得系統運作的原理,知道如何保護系統安全,但是你的家人、朋友卻不見得懂,而他們就是可能接觸惡意陷阱的高危險群。

同樣的,我不建議小朋友接觸得到的手機與平板電腦取得 Root 權限也是同理,因為許多小遊戲之中會推薦更多小遊戲,而魔鬼就藏在細節中,大多數被推薦的小遊戲是安裝在私人伺服器上,未經過 Google Android Play 團隊的驗證程序,讓惡意程序可能藏在其中[5]。

這一類型詐騙手法的成功定義,就是手機或平板電腦在取得 Root 權限的狀態下,開啟網站,下載並執行該 APK 檔案[6]。但是這也不保證沒有取得 Root 權限的手機就不會被入侵,尤其現在的部分廠商甚至會直接替你開通 Root 權限,為的就是增加賣點。

檢查過檔案後,可以發現伺服器是被架設在俄羅斯聯邦 (Russian Federation),政府若想追查也是困難重重。而目前已知的危害,將造成用戶手機會不斷將自己的手機內容與隱私上傳到駭客的伺服器中,造成機密外洩與被利用的危害。

給詐騙集團的建議(被毆飛)

詐騙集團們忽略了一件事情,前面提到的兩種詐騙模型其實可以進行互惠合作。

既然有團體成功入侵真實帳號,又有駭客設計出完整的 APK 後門,只要他們合作, 就有更多的應用,例如,朋友 A 傳送 APK 連結給朋友 B,並稱這是他設計的最新遊戲,希望幫忙做個測試。

噹啷,我相信很多人都願意去執行的 😈 。

寫到最後才突然想到,為何我的朋友都沒人被盜用帳號,傳詐騙訊息給我啊,害我得拿我朋友的二手資料來寫這篇文章 😆 。

補充:

完成這篇文章後幾個小時,我發現闇陰羊收到的那封詐騙簡訊的縮網址內容產生變化,當再次連入時發現該檔案已經被 Dropbox 給封鎖。官方理由竟然是該公開檔案造成的流量太大 😯 ,這嚇壞我了,讓人不禁好奇到底有多人下載該檔案。

反觀水美眉的縮網址連結,對應的檔案是七周前上傳,而且沒被禁呢。(這意思是水美眉的文案輸給闇陰羊嗎?

dropbox-error-509-too-much-traffic

Dropbox: Error 509

延伸閱讀:

[1] 通訊軟體被大量盜用的狀況,之前在 Skype 上也曾發生過,當時在《SKYPE 帳號被盜用事件之分析與說明》這篇文章的分析中指出官方系統有漏洞。過了一段時間後,這個漏洞似乎才被補救起來(也是被 Microsoft 微軟收購後那段時期)。

[2] 另一種案例模型是透過網頁達成目的,像先前在《[緊急通知] 臉書 Facebook 的新詐騙手法 利用假比賽資訊騙取簡訊認證碼》一文中就曾經提過假比賽,真登錄與簡訊驗證的手法,就是為了取得對應的驗證碼資訊。

[3] 在《科技陷阱: 詐騙集團與人性陷阱 溫暖萬歲 Line Facebook Messanger》這篇文章曾指出如何確認網路另一端的朋友是真的朋友。

[4] 為了安全性著想,經過置換,已變更為連結到本站的縮網址。

[5] 資訊安全: 判斷下載的智慧型手機 Apps 是否安全

[6] 以這類型的詐騙手法來看,使用 Apple 的 iOS 系統就顯得相對安全許多,多數攻擊都暫時針對 Android 而來。

您可能也會喜歡…