帳戶被接管詐騙:如何發生及如何阻止
香港銀行帳戶被接管的機制——從憑證盜竊和SIM卡調換到社交工程——以及能阻截每種攻擊途徑的防禦措施。
香港銀行帳戶被接管的機制——從憑證盜竊和SIM卡調換到社交工程——以及能阻截每種攻擊途徑的防禦措施。
帳戶被接管詐騙發生於詐騙者對你的網上銀行 ↗憑證及驗證方式取得足夠控制權,從而以你的名義進行銀行 ↗操作。在香港,帳戶被接管主要透過三種途徑發生:憑證洩露(獲取用戶名及密碼)、驗證繞過(繞過保護帳戶的2FA)及社交工程(操縱銀行員工或你本人,直接授予訪問權或進行轉帳)。許多成功的帳戶接管結合了多種途徑——憑證盜竊後再進行SIM卡調換以截取短訊OTP,是常見的組合手法。
憑證洩露是最常見的切入點。你的銀行憑證可能透過以下方式被獲取:直接釣魚(在虛假銀行網站上輸入憑證)、設備上的malware(鍵盤記錄器、銀行木馬程式)、利用其他數據洩露中的用戶名/密碼進行憑證填充,或透過冒充銀行員工的詐騙者以「核實」為由索取你的登入資料。跨服務重複使用密碼的普遍做法,意味著任何服務(零售網站、應用程式、論壇)的一次洩露,均可能暴露你的銀行憑證。
一旦憑證被盜,攻擊者便面臨繞過2FA的挑戰。這就是SIM卡調換變得關鍵的地方——控制你的電話號碼後,他們便能接收發送至該號碼的所有短訊OTP。或者,實時釣魚套件會自動化OTP中繼:當你在釣魚頁面上輸入憑證時,該套件立即登入你的真實銀行、觸發發送至你手機的OTP,並顯示一個虛假的「需要驗證」提示,捕獲你輸入的代碼並中繼以完成詐騙登入。這些實時中繼攻擊使短訊OTP對精密的釣魚活動幾乎毫無效用。
預防帳戶被接管需要獨立應對每種攻擊途徑。就憑證安全而言,使用密碼管理器為每項服務生成獨特的複雜密碼,可完全消除憑證填充的風險——若每個密碼均不同,某個網站的洩露對攻擊你的銀行毫無價值。在haveibeenpwned.com查看你的電郵地址,可揭示你的憑證是否曾出現於已知數據洩露中——結果顯示曾洩露的,應立即為所有受影響的服務更改密碼。
就強化2FA而言,從短訊OTP遷移至銀行提供的應用程式內驗證器令牌,可從你的銀行驗證鏈中移除SIM卡調換漏洞。這是大多數香港銀行客戶可採取的單一最高效安全改進措施,通常可在五分鐘內透過銀行手機應用程式設定獨立完成。如無法使用應用程式內驗證,使用一張獨立SIM卡——一張在任何公開記錄中均不與你身份掛鉤的卡——專門用於接收銀行短訊OTP,是SIM卡調換風險的部分緩解措施。
設備安全可封堵malware途徑。在所有用於銀行業務的設備上運行知名防毒軟件、保持作業系統及應用程式更新以獲取安全補丁、避免從官方應用程式商店以外的來源安裝應用程式,以及對新安裝應用程式的授權請求保持極度謹慎,均可降低銀行木馬程式立足的風險。設備隔離——專門使用一台設備進行銀行業務及財務管理,不安裝社交應用程式、遊戲或進行一般瀏覽——對持有大量資產的用戶而言,是最強的設備層面保護。
社交工程帳戶接管完全繞過技術安全措施,轉而操縱人類——你、銀行員工或流動網絡商的客服人員。詐騙者在這些攻擊上投入大量精力,因為無論你的密碼和2FA多麼強大,這類攻擊均可能成功。香港最常見的社交工程接管企圖,包括冒充銀行員工致電「核實」可疑活動、冒充你的僱主或IT部門要求訪問銀行設施,或捏造需要緊急採取帳戶行動的緊急情況。
應對所有社交工程攻擊的關鍵防禦原則是獨立核實。若有人聯絡你聲稱是你的銀行,並要求提供任何資料或採取行動,請勿在該次通話或通訊中配合。請掛線,並獨立致電銀行官方公布的號碼。查看你卡背面或銀行官方網站上的號碼——而非通話或訊息中提供的號碼。這個簡單程序可完全挫敗電話冒充攻擊,因為詐騙者無法攔截你主動撥打至真實銀行號碼的電話。
語音釣魚(Vishing)攻擊特別有效,因為詐騙者可偽造來電顯示,使你的手機屏幕顯示你銀行的真實電話號碼。請勿將手機屏幕上顯示的號碼視為對來電者身份的驗證。真正的銀行員工絕不需要致電你,要求提供完整密碼、PIN碼或OTP——任何提出此類要求的來電者均是詐騙者,無論你的屏幕顯示何號碼。
及早偵測是將帳戶接管損失降至最低的關鍵。警告訊號通常在造成重大損害前便已出現:在你未嘗試登入時收到意外的短訊OTP、來自陌生設備或地點的登入通知、意外的交易通知、安全設定(密碼、設備登記、已登記電話號碼)更改的電郵通知,或你的手機意外失去所有網絡連接(表示SIM卡調換正在進行)。上述任何訊號均需立即採取行動。
若懷疑帳戶接管正在進行,你的優先行動順序為:透過銀行應用程式的緊急鎖定功能立即鎖定或凍結帳戶(大多數香港銀行應用程式在「設定 > 保安」下或以緊急小工具形式提供此功能)、立即在不同設備上更改銀行密碼、從不同電話致電銀行24小時詐騙熱線,以及若懷疑SIM卡調換,聯絡你的流動網絡商。在數分鐘而非數小時內採取行動,可決定詐騙者是否完成轉帳,或在你的資金被清空前被阻止。
緊急遏制後,進行系統性檢查。查看你的銀行帳戶是否有:新增的收款人或受益人、修改或新增的定期指示、更改的FPS別名、更新的聯絡方式(電郵、電話),以及在你發現被入侵前的一段時期內的任何交易活動。向你的銀行及警方報告所有發現。更改任何其他與被入侵密碼或電郵帳戶共用密碼的服務的密碼。
