新型竊取OTP驗證的詐騙手法
資訊安全 》新型竊取OTP驗證的詐騙手法|天矽網頁設計
在這個數位時代,我們愈來愈仰賴手機簡訊或APP中的「一次性驗證碼(OTP驗證)」來保護自身帳戶安全。然而,駭客的詐騙手法日益進化,近期出現鎖定OTP驗證碼的新型詐騙手法,本篇文章將帶大家瞭解此種詐騙是如何運作、以及如何預防與保護。
➤什麼是OTP驗證?
OTP驗證(One-Time Password),是一組臨時密碼,大多在用戶登入帳戶、轉帳、或修改帳戶相關設定時,透過簡訊或EMAIL發送給用戶的臨時密碼,做為二次身分驗證。但是,駭客卻已開始試圖騙取這道驗證。
最新詐騙手法,駭客主要以Whatsapp散布並誘騙受害者提供身分證明文件、ATM密碼或銀行帳號等敏感資訊。
➤駭客如何誘導受害者提供敏感資料?
由於駭客無法直接看到用戶的簡訊內容,因此他們會偽裝另一種身份誘導受害者提供敏感資訊,主要有以下幾種詐騙方式:
1. 偽裝成銀行、電商客服或其它平台
駭客偽裝成銀行、電商客服或其它平台的客服,運用打電話、簡訊或EMAIL通知您:「您的帳戶異常,需請提供收到的OTP驗證碼完成驗證」、「您的ETC尚未繳費,請點擊連結完成繳款」。
一旦這樣做,駭客就會瞬間入侵您的帳戶,進而轉走您的資金。
參考資料
✔ 收ETC遲繳信件 刷卡台幣35元「卻變1385美元」!
2.透過釣魚網站
受害者會收到一封看似官方Email或客服訊息,點擊會連結到一個偽裝的網站或APP,誘導受害者輸入帳號、密碼或金融帳號,駭客通常聲稱:此為系統驗證,請依提示輸入驗證碼或相關資訊。實際上,這些手段都是誘導受害者提供敏感資訊的行為。
3. 植入惡意程式
駭客將電話號碼寫入惡意程式作為資料外洩管道,為了預防行動裝置被惡意程式攻擊,建議用戶可以參考以下方式,以維護行動裝置的安全性:
-
只從官方應用程式商店下載APP
-
勿在網路下載或點擊來路不明的網站、檔案
-
下載APP前檢查APP資訊
-
謹慎查看網站或APP要求的權限是否合理
