漏洞! 騙徒利用「飛線」 盜WhatsApp賬號
【大公報訊】記者梁淑貞報道:網絡騙徒手法層出不窮,有網絡保安公司發現,WhatsApp通訊程式的認證「Call Me」語音通話功能成為漏洞,當騙徒藉「你已中獎」或「有包裹未能送達」等訊息,誘使用戶輸入所有來電轉駁短碼,例如按鍵**21*+(電話號碼)+#等,用戶手機成功「飛線」至騙徒手機。用戶會在數分鐘後發現WhatsApp賬戶被登出,當致電索取密碼欲再登入時,WhatsApp「Call Me」語音通話功能便自動向騙徒讀出WhatsApp一次性驗證碼(OTP),騙徒成功取得WhatsApp賬號,可假扮用戶向親友詐騙。
避免回應可疑訊息
網絡安全公司CloudSEK創辦人Rahul Sasi最近發表公告,解說騙徒誘使受害人在手機輸入一串以*、#以及數字組成的短碼,事實是電訊商將來電轉駁號碼的MMI短碼,用戶手機便會「飛線」至騙徒手機,此行騙的技術難度不高。他提醒用戶,在WhatsApp未修補相關漏洞前,應避免回應可疑人士要求輸入短碼。
香港資訊科技商會榮譽會長方保橋接受大公報記者查詢表示,這種「飛線」轉駁騙取用戶資料的手法可行,年輕一代或未有聽過電話轉駁功能,這些功能自廿幾年前電訊商設有,例如若想將通話來電轉駁,按鍵**67*+(電話號碼)+#;無人接聽來電轉駁則按鍵**61*+(電話號碼)+#,當用戶回家或辦公室,可將電話飛線至固網電話,或是當到外地時,將手機飛線至當地網絡電話,繼續接收短訊。
勿向他人透露或輸入密碼
方保橋表示,疫情下市民減少出外見面,或多用WhatsApp等通訊軟件交往,由於WhatsApp認證「Call Me」語音通話功能,會在致電數次後自動讀出一次性驗證碼,因此,市民要警惕。他說,市民接獲電話或短訊通知中獎或有包裹,不要貪心輕信,也不要向他人透露任何密碼或輸入短碼,以免洩露密碼或將手機「飛線」,密碼應避免使用出生日期或電話號碼,而且應有不同的密碼,以免騙徒猜中密碼時,用戶一次過損失所有賬戶。
