銀行存款遭盜走！開「未知來源程式」下載APP有風險

（吉隆坡7日訊）一名手機應用程式軟體開發員撰文稱，有些安卓手機應用程式（ANDROID APP）用戶在不知覺的情況下，遭轉走銀行存款，這當中除了是對方指示下載特定手機應用程式做優惠付款之外，另一個安全漏洞是因為下載了開啟「未知來源程式」的中國遊戲類的手機應用程式？

名為「Ah Hong VS」的手機應用程式員稱，華人特別容易進入這個圈套，因為電話安全已經被打開，如果有玩「王者榮耀」、「和平精英」之類的中國遊戲類型手機應用程式（APP），你就已經開啟了「未知來源程式」 （ALLOW INSTALL FROM UNKNOWN RESOURCES） 設定。

他說，這個設定是為了防止安裝到惡意軟體的，但是既然打開了，那安裝惡意軟體APP是輕而易舉的事情。

他在面子書發文提醒，安卓用戶不要安裝中國軟體，尤其是需要下載「APK」，也不要打開「未知來源程式」 （ALLOW INSTALL FROM UNKNOWN RESOURCES）的設定，如果必須打開來安裝「王者榮耀」的話，記得安裝後，馬上關掉有關設定。

他也提醒，大家定期檢查手機上的應用程式，沒用的話，馬上清除掉。

「電子銀行（E-BANKING）的認證照片要記起來 沒看到照片都不是真的E-BANKING PORTAL。」

他也提醒，記得去檢查哪個手機應用程式有簡訊（SMS PERMISSION） 權限使用，確保只開放這個功能給你信任的手機應用程式。

他也提醒，安卓用戶只安裝「PLAY STORE」上的手機應用程式，沒有進「PLAY STORE」 的手機應用程式不要安裝。

他在這篇文章只是寫安卓（ANDROID APP），但他也預告，下次會寫IOS程式。

另一方面，他提到，在安裝有「APK」的手機應用程式後，就需要登記一個戶口，這裡還很清晰和正常手機應用程式再正常不過了，到了簡訊（ SMS） 身份驗證 （VERIFICATION ）時，就會出現確認簡訊權限（REQUEST FOR SMS PEMISSION），否則就無法再做下一步（CONTINUE），而當授權了簡訊權限給APP後，有關的APP就可以閱讀及刪除你所收到的簡訊。

他說，當逛完且是時候付款時，所去到的支付網關（Payment Gateway） 都是假的，不管是信用卡、FPX或銀行頁面的電子支付介面都是假的，無論輸入什麼東西都是過不到的，顯示「正在維修」（UNDER MAINTANENCE ），接著就指示使用另外一張銀行卡，這時會有很多人繼續用另外的戶口及另外的卡來繼續刷、繼續付款，但都還是付不到。

他補充，這時，對方的客服回來安慰表示系統正在升級，請稍後再試，但重點是，這時很多時候是用戶親自把 用戶名稱及密碼（「USERNAME」及「 PASSWORD」） 交出去，這時就等待詐騙集團幾時要動手而已。

他說，這時候有好幾種方法 好讓他們拿到有關用戶的OTP，即：並非每個APP 都可以在用戶電話的後台運行，因用戶電話擁有省電功能把任何後台程式給終止掉，所以對方為了確認他們的APP還在你的電話後台運行，會特意傳一個簡訊以確認他們的系統有連接的，若收到了這樣的簡訊，馬上封殺所有應用程式，並檢查APP清單里都是對的APP。

他說，對方收到簡訊後，基本上已經確認了可以讀取用戶的簡訊，就會開始行動，登入你的帳號更改你的綁定手機密碼，對方不是轉帳，而是直接更改綁定手機的號碼，一旦更改瞭然後獲取到OTP接下來的行動，對方都不需要你的手機里的OTP來轉帳，而對方怎麼轉基本上用戶都不會知道，直到檢查銀行戶口的時候才發現。

「這時候你會懷疑，為什麼沒收到OTP錢就被轉走了？記得一開始說的，APP已經擁有SMS PERMISSION（簡訊授權）來READ（閱讀）和DELETE（刪除），他們READ（閱讀）了你的SMS（簡訊）直接DELETE（刪除）掉，神不知鬼不覺。」

為此，他補充，對方其實只需要讀取用戶電話的一次更改綁定電話的OTP SMS，基本上就可以為所欲為了。