華爾街日報日前一篇報導揭露了一項新的竊盜手法,手法本身並不怎麼高明,但是卻殺傷力強大!根據報導,目前全美已經有 40 多名竊賊專門使用此一手法偷竊被害人的手機,進而提取被害人的帳密資料,進入網銀行帳戶提款,更慘的是,手機雲端備份的所有照片皆會成為過往雲煙,再也找不回來。
被害人在報導中指出,某一晚她與朋友相約酒吧小聚,在等候的過程中她開始滑手機。朋友到來之後兩人相談甚歡,完全沒有發覺竊賊已經偷偷把她的手機給摸走。她發現之後立刻借朋友的手機使用 “Find my iphone” 的功能,但是她發現她已經找不到自己的手機,無法登入自己的 Apple ID。她急忙趕回家,打開自己的蘋果電腦,發現她也已經無法登入 iCloud,手機裡面所有的重要資訊皆全數暴露在竊賊面前,她以為有了 iCloud 就能備份,但是她發現她面對的,不僅僅只是手機竊賊而已。
接下來,她從銀行帳戶中看到竊賊一筆筆的把自己帳戶中的錢往外轉,全都發生在她還來不及凍結銀行帳戶的短短幾分鐘內。
延伸閱讀 >> 快手刀更新!打開 IPHONE IOS 17.3 的「被盜設備保護」(STOLEN DEVICE PROTECTION)最功能,讓你手機被偷也不擔心個資外洩!?
根據調查,這種新型案件的作案方式結合了兩種消費者沒想到的資安漏洞,一是在公共場合毫無防備的輸入自己的手機密碼,二是 iPhone 非常脆弱的資安系統。根據警方調查,竊賊的作案過程如下:
1.鎖定被害人的手機,並且紀錄下被害人輸入的手機密碼。在被害人不注意(或人多)的狀況下偷走被害人手機。
2.輸入被害人的手機密碼,進入被害人手機之後,第一步就是更改被害人的 Apple ID(只需要輸入竊賊早已記下的手機密碼)。
3.關掉 “Find my iPhone” 的功能,使得被害人無法掌握失竊的手機地點。失去 Apple ID 的被害人已經無法登入自己其他蘋果電腦設備。
4.竊賊使用 iCloud 的鑰匙串功能,登入被害人所有的網路銀行,開始盜取現金。
5.竊賊在被害人手機的相簿中找尋重要 ID 資訊,像是護照號碼、SSN 號碼等,有了這些號碼之後就能夠申辦 Apple Card 進行盜刷,或是換取現金。
以上這些,全都只需要靠一組 6 位數的手機密碼就能完成,全部都發生在手機被偷的 24 小時之內。根據報導,被害人事後向警方報案後,多數都能像銀行得到金錢賠償,但是 iCloud 中的備份,多年累月的相片等等,就一去再也不復返。
專家教你「三招」保護手機裡面的重要資訊
根據警方表示,其他品牌的手機與 iPhone 的作案方式如出一轍,但是由於 iPhone 轉手率較高,歹徒較喜歡鎖定 iPhone 來辦案。同時,在 Apple 尚未提出解決方法的時候,專家也提出三招讓你保護好你的數位人生。
1.保護好你的手機密碼
首先,最簡單的防禦就是在你準備輸入手機密碼時,用手遮住手機屏幕。想想你在提款機前輸入密碼的樣子,手機裡面存有更多重要的密碼資訊,我們實在不應該大辣辣的就在公眾場合輸入自己的手機密碼。康奈爾大學和康奈爾理工學院計算機科學教授 Vitaly Shmatikov 表示,智慧型手機用戶在公共場合應該盡可能多用 Touch ID 或 Face ID。
2.不要在手機裡保存帳號密碼
一旦手機中(不管是記事本還是相片)有了你重要的個資或是帳密,手機被偷後無疑就是向竊賊展示如何盜用你的帳號密碼,讓你的人生攤開在陽光下。
但是,使用者可以考慮使用密碼管理 app,這種 app 是可以生成,或是儲存敏感密碼的安全軟件應用程序。根據 2022 年《消費者報告》的一項調查,大約 39%(比 2019 年增加了 3%)的消費者開始使用這種密碼管理器。
3.設定雙重身份驗證
雙重身份驗證雖然有點麻煩,但是卻能夠在必要的時候保護好自己!通常雙重認證要求用戶在輸入密碼之前再發送一組安全代碼道信任的設備或電子郵件中。
“Apple ID 的雙重身份驗證是必須的,第二個接收設備應該是單獨且受你信任的設備,如 iPad、Mac 或 Apple Watch。”Shmatikov 說。同時專家也表示,如果你的雙重認證是使用簡訊功能,手機被偷之後這項功能就形同虛設。
“對於需要雙重身份驗證的網站,例如銀行網站等,不要使用短訊作為第二驗證選擇,因爲一旦手機就在竊賊手上,他立刻能夠收到短訊並且成功進入網銀系統。我建議使用身份驗證器應用程序,如 Google Authenticator、Microsoft Authenticator、Duo、Okta Verify 等,並在身份驗證器應用程序中打開生物識別保護,像是 Face ID 或 Touch ID,這樣竊取你手機的小偷就會無法登入金融網站。“ Shmatikov 建議道。