駭客入侵手機裝木馬很容易？還能輕鬆從網銀把錢轉走？

本文同步刊載於《關鍵評論網》2020/12/16

一名女子在臉書社團《爆料公社》抱怨，開通國泰網銀功能，並在iPhone上使用後，10天內被駭客盜轉26萬元。除此之外，她還加碼爆料，她閨密的客戶也發生類似事件，盜轉金額合計超過100萬。最後，她認為不只一家銀行出問題，並呼籲大家把網銀轉帳功能關掉。

國泰立即發出聲明，「全面檢視網銀App系統均運作正常，並無駭客入侵情事」，玉山則表示「並未接獲顧客反應遭盜轉70萬情事，已於官方網站及網路銀行公告提醒顧客防範類似惡意行為。」

到底駭客是怎麼入侵我們手機的？蘋果手機確實比較安全嗎？入侵之後駭客怎麼操控我們的手機？網銀轉帳功能真的得關掉嗎？有什麼簡易自保之道？

這一切得從特洛伊木馬說起。

高中時，同學B自視甚高，常常在我跟另一位S同學面前誇耀自己家世多好、多少女生倒追他、根本沒花時間念書（但考試成績總是名列前茅）等等。我除了微笑傾聽，也沒別的辦法，但S可不是吃素的。某天，S邀我去他家玩，他打開了電腦，在鍵盤上輸入幾個字、點了幾下滑鼠，螢幕上居然出現了B的電腦桌面！

「B追女生只有一招，就是到處告白，根本亂槍打鳥！而且所有女生都拒絕他了，哪有人倒追！」S一邊點開B的電子郵件跟通訊軟體，一邊嘲笑地跟我解釋信件跟對話內容。

許多年以後，我才知道被放到B電腦內、用來回傳各種資料與畫面的軟體，正是大名鼎鼎的「木馬程式」！

因為你不知道它是。

木馬之所以能屠城，是因為特洛伊人被希臘聯軍設計，傻傻把它拉進城內，然後被藏伏在內的士兵殺得片甲不留；木馬程式之所以能攻下電腦或手機，是因為你我被駭客設計，以為是正常程式，傻傻安裝了它，讓駭客遠端即可操控，恣意擷取他想要的任何資料。

駭客誘騙手法千奇百怪，他們會透過電子郵件、電話簡訊、即時通訊軟體、惡意廣告、被入侵的合法網站等為管道，直接給你惡意程式，或是附上網址後要你下載，說是天羅地網也不為過。

而你願意自投羅網，是因為駭客總能掌握人性的弱點與最新的潮流。近期流行的「商品已到貨」簡訊，不就是利用網購普及的趨勢、以及人們購物後期待開箱的興奮嗎？

以趨勢科技的Xloader研究報告為例，Android使用者連結到惡意網址後，會被要求下載名為「Chrome.apk」、假裝是Chrome瀏覽器但實際上是木馬程式的檔案。使用者一旦「忽略」Android警告，硬要安裝這個來源不明的程式，那麼木馬程式就成功植入了。

木馬植入後，駭客可以作的事情不勝枚舉。他可以竊取重要的個人資料、聯絡人、照片、文件，也可以為了竊取帳號密碼自動打開釣魚網頁，甚至還能攔截簡訊、假借名義發送釣魚簡訊、錄下通話內容等。

卡巴斯基針對另一木馬Ghimob的研究中，還發現它專門鎖定巴西100多種銀行、金融科技、加密貨幣等程式，一旦發現使用者打開銀行網站或程式，即會跳出幾乎與官網一樣的釣魚網頁，騙取使用者網銀的帳號密碼，非常強悍。

不行，因為如Xloader的木馬程式總會一再進化。

新版Xloader開始攻擊iOS，使用者一旦不小心安裝惡意的設定描述檔（Configuration Profile），釣魚網站隨即自動開啟，騙你輸入Apple ID與密碼。

駭客拿到Apple ID與密碼後，可做的事情也不少。他可以看到你儲存在iCloud的照片或文件、購買APP或遊戲道具，甚至安裝一些假憑證，好讓未來瀏覽假網站時瀏覽器不會發出警告。

不過，相較Android來說，駭客要在iOS植入木馬，並且實現如Android上的完整控制功能，確實稍微困難一點。

合理推測有以下幾個可能（以個人認為的可能性降冪排序）：

身分證字號、電郵、密碼等資料早已外洩，而網銀的用戶代號與密碼，恰巧設定跟暗網外流的幾組帳密相同，被駭客嘗試登入成功，並使用非約定轉帳每天轉走5萬。網銀APP沒有通知款項被轉走，不一定是駭客攔截簡訊或軟體通知，因為手機可以設定要不要顯示通知。
熟人得知她的個資及帳密，直接登入把錢轉走。
手機越獄，安裝了包裝成追劇、免費音樂或電影的非官方合法程式，因此後門大開，潛伏多時竊取到身分證字號與網銀帳密。
手機未越獄，但下載了惡意的設定描述檔，Apple ID被盜，存放在iCloud中的文件或照片，剛好有身分證照片以及網銀帳號密碼。

新聞苦主或是警方呼籲「關掉轉帳功能」或「將轉帳上限調低」保護措施，非常不食人間煙火，也不是解決問題的好方法。

申請網銀安裝App，目的就是希望不用拿著提款卡跑ATM，或甚至到銀行抽號碼牌排隊呀！因為幾個資安意識不夠的個案，而勸大家不用網銀轉帳，完美詮釋了何為「因噎廢食」。

如前面分析，只要「不主動安裝」，駭客是很難入侵手機的。因此，不隨便點連結網址、不安裝來源不明軟體，即可大幅減少遭遇惡意程式的機會，若能定期更新作業系統與App，並安裝防毒軟體，要被入侵還真的沒那麼容易。