【提防騙子】加密貨幣假apps泛濫 黑客扮friend呃帳戶登入資料
加密貨幣 (cryptocurrency) 炒風熾熱,愈來愈多人參與其中,而要買賣各種加密貨幣,最簡單方法是使用管理 app。網絡安全服務供應商 Sophos 便發現,有黑客集團製作了 150 個以上虛假交易及管理 apps,通過不同手法吸引投資者安裝,從而盜取他們的電子錢包帳戶登入資料。有女投資者便因貪字得個貧,買樓基金一鋪清袋。
要盜取加密貨幣電子錢包帳戶,方法有很多種,比較困難的手法是入侵受害者的電腦,再於電腦的儲存數據內搜尋有關記錄。而今次 Sophos 留意到的手法就簡單得多,專家指黑客會嘗試通過不同途徑,推廣一些管理加密貨幣的手機應用 apps,例如利用社交平台賣廣告、於即時通訊工具內廣發推廣訊息,甚至發動社交工程 (social engineering) 攻擊,先與目標人物建立關係及信心,才引導對方安裝虛假 apps。
為了令目標人物更易上檔,黑客會倣製一些有名氣的手機應用 apps,由版面設計以至使用圖案,均模彷得極度逼真,然後才通過上述方法散播。Sophos 專家經深入調查後,發現當中有超過 150 個假 apps 均使用同一伺服器,因而證實背後有一個集團有組織地經營加密貨幣帳戶詐騙。專家又指出,這些詐騙手法的內容萬變不離其中,首先黑客會以各種理由,要求目標人物透過他們所推薦的 apps 去增值帳戶或轉帳,如受害人誤信對方的指示點擊安裝連結,便會被誘導至一個像真度高的虛假安裝頁面,並在安裝後輸入加密貨幣帳戶登入資料,之後內裏的儲款便會被掏空。
根據 BBC 報導的一個案例,一名女受害者因在網上看到廣告,內容是 Tesla 創辦人 Elon Musk 承諾只要每存入加密貨幣,便會雙倍奉還,再加上主辦活動一方看似是 BBC 的新品牌,因而她便安心將原用於買樓首期的 9,000 英磅存入,結果當然一去無回頭。Sophos 專家語重心長地勸告,其實防犯這些詐騙攻擊並不困難,只要拒絕從第三方 app store 或途徑安裝手機應用 apps,便能從源頭阻止自己成為受害者。
