Android 用戶注意！新 NFC 竊資手法直接清空你的銀行帳戶

行動裝置的攻擊手法日新月異，有些甚至利用舊技術與新概念的融合，打造出新型整合攻擊。近期波蘭電腦緊急應變小組（CERT Polska）就發現一種名為 NGate 的攻擊手法，透過惡意軟體感染 Android 手機以取得用戶金融卡卡號和密碼，即便用戶的金融卡沒有被偷走，駭客也能透過 ATM 隨意取走受害者銀行帳戶裡的錢。

NGate 攻擊手法是以 NFC 為基礎，NFC 這正是你在零售店使用金融卡、Apple Pay 或 Google Pay 結帳時，手機與終端機溝通的方式。一旦手機感染 NGate，你的金融卡與密碼資訊會從受感染的手機被送往攻擊者所擁有的伺服器。

像 Visa 或 Mastercard 金融卡、信用卡等感應支付卡片會產生一次性使用的驗證碼（OTP），且只能使用一次，你可能會認為這能阻止攻擊者竊取你的金融卡資料，但凡事總有辦法；攻擊者會感染你的手機（可能是誘導你安裝惡意 App），並騙你執行一次 tap-to-pay 的驗證，其中包括輸入你的密碼，所有這些資訊都會被傳送到攻擊者的裝置。

這些代碼僅在有限時間內有效，這意味著攻擊者一旦取得資料，就會立即前往 ATM，使用手機、智慧手錶或客製化硬體等卡片模擬裝置提領你的資金。

為了感染你的裝置，攻擊者會使用網路釣魚電子郵件或簡訊，試圖讓你在手機上安裝他們的惡意 App，這些釣魚郵件或簡訊可能假冒你的銀行、網路或電信業者，聲稱你的帳號出現問題，目的是讓你感到緊張到毫無判斷地照做，包括安裝一個據稱能協助解決問題的特別 App，這些 App 是透過直接連結下載，避開 Google Play 商店。

一旦 App 被安裝，它會要求啟用特定權限，並要求你透過攻击者提供的假 App 執行 tap-to-pay 動作，來驗證新的卡片。就在這同時，攻擊者的同夥會在 ATM 旁等待準備清空你的帳戶。

這是一個令人害怕的情境，而且它確實曾成功。為了避免這種事發生在你身上，建議你遵循下列提示：

• 只從可信來源下載 App，如 App Store 和 Google Play Store，銀行絕不會要求你使用其他來源。

• 為 Android 使用最新的即時防毒防惡意軟體。

• 若有人聲稱來自銀行，請告訴對方你會自行回電，並使用你已記錄的電話號碼聯絡。

• 永遠不要回應未經要求的簡訊，不論它看起來多麼無害。

以上都是你應該隨時遵守的建議，攻擊者寄出簡訊，聲稱你的銀行帳戶有異常，或你即將失去電力、自來水、電信服務等重要資源，就是希望你被嚇到而毫不猶豫地安裝任何東西。問題在於，在這類攻擊中，受害者完全不知道自己的手機已被植入惡意軟體、銀行帳戶正在被掏空，直到一切太遲。因此請務必遵守本文的建議，以免被洗劫一空。

（首圖來源：shutterstock）