騙徒吼準綁定賬戶漏洞 騎劫手機盜比特幣

By on August 23, 2017

原文刊於信報財經新聞專欄「StartupBeat創科鬥室

隨着虛擬貨幣流行,手機已變成不少人的錢包,亦成為騙徒埋手的目標。(路透資料圖片)

隨着虛擬貨幣流行,手機變成不少人的錢包,成為騙徒埋手的目標。(路透資料圖片)

現時不少金融機構讓用戶以手機綁定賬戶,但啟用雙重身份認證後,卻沒預期般周密安全,反而令騙徒有機可乘。據《紐約時報》報道,有虛擬貨幣愛好者的手機,其電話號碼被人暗中調包,轉走約100萬美元(約780萬港元)虛擬貨幣。

Cryptochain Capital管理合夥人Adam Pokornicky早前發現,有騙徒冒認手機機主不斷致電手機營運商,訛稱各種非常緊急的理由,企圖說服客戶服務職員毋須密碼授權,就把舊號碼移至新手機上操作,而受害人事前全不知情,騙徒得手後只要按下「忘記密碼」鍵,即可經短訊取得新密碼,於數分鐘內重設賬戶權限。

創業家失780萬

「騙徒只須安坐電話前,耐心打600多個電話,直至有人上釣。」創業家Joby Weeks去年被偷走大量比特幣(Bitcoin),損失百萬美元。即使啟用第三方認證,但他不久就發現,其妻子及父母的手機均已被陌生人控制,進階功能形同虛設。有保安專家擔心,如手機營運商忽視問題,同類攻擊情況只會繼續惡化。

虛擬貨幣安全公司BlockSeer創辦人Danny Yang透露,他曾追查網絡攻擊的源頭,發現除菲律賓之外,土耳其及美國均是熱點。騙徒行動專業迅速,多數有組織犯事,他們會在社交網尋找獵物,例如風險投資者。不過,受害者一旦中招,通常低調啞忍,擔心被人再次狙擊。

案件3年增逾倍

比特幣的一大特點,就是無法逆轉交易,加上缺乏政府監管,個別用戶須承受較大風險。銀行或經紀行賬戶的入侵風險一般較低,因一旦發現任何異樣,亦可攔截可疑交易,有效減少損失。不過,部分騙徒會傳送勒索電郵,威脅發放裸照等黑材料,令受害人被迫就範,即使是編程專家亦告失守。

虛擬貨幣交易平台ShapeShift的首席信息安全官Michael Perklin指出,手機營運商一般有指引,讓員工遵從關於客戶的保安要求,但未必每一位都嚴格執行。

根據美國聯邦貿易委員會資料,當地在2013年1月只有1038宗手機騎劫個案,可是至2016年1月急增至2658宗。作為全球最大的虛擬貨幣錢包之一,Coinbase為確保交易安全,已呼籲客人遠離手機,避免綑綁賬戶。同時,改用更複雜的密碼,增加騙徒偽冒的難度。該公司將投放更多資源,如建立內部工具,防止黑客挪用資料。

支持 StartupBeat

如欲投稿、報料,發佈新聞稿或採訪通知,按這裡聯絡我們