現代科技發達,就連出門叫車、規劃路線都能透過app完成所有程序,但危險往往都藏在細節中,您確定平時最愛叫車程式真的沒問題嗎?

近期有民眾反映叫車程式不斷要求使用者輸入信用卡資料,根據資安研究人員調查發現,有一個銀行木馬程式「 FakeToken 」偽裝成Android叫車應用程式,而FakeToken 首次現身於 2013 年,一開始是專門竊取銀行資訊的手機惡意程式,但同時也是一個手機勒索病毒,現在甚至還會冒充成一些交通罰單或飯店和機票訂位的支付程式,讓人防不勝防。

目前「FakeToken」的詐騙伎倆引起了全球的關注,因為Uber的應用程式在Google Play商店上的安裝次數就累積達 1 至 5 億次之間,包括 Uber、Lyft、Sidecar、Easy、Grab 等等,所以FakeToken對使用者來說相當危險,而且叫車程式的問題還還不只在於下載量龐大,更重要的是這類程式會儲存個人金融資訊和身分資料等等,甚至會即時監控裝置上所安裝的這類應用程式並試圖偷取使用者的資料。

當使用者執行程式時,FakeToken 就會顯示一個網路釣魚畫面並將它重疊在原本的應用程式畫面上,騙受害者輸入信用卡資料,而且網路釣魚畫面長得跟就像原本的應用程式一樣,包括標誌和配色等等,甚至會會攔截手機收到的簡訊,並將簡訊內容傳送至網路犯罪集團的幕後操縱 (C&C) 伺服器,如此一來歹徒便能夠取得銀行或行動服務所發出的雙重認證碼。

而這個「FakeToken」手機銀行木馬程式肆虐最為嚴重的國家是俄羅斯,其次是澳洲、日本、羅馬尼亞、德國、烏克蘭以及台灣,所以用戶在下載app時要特別注意權限,也不要在網路上分享過多個人資訊,也務必小心一些不請自來的簡訊,以免個資外洩還不自知,悄悄成為歹徒覬覦的對象。