最近频频发生民众的银行存款无故被转走的事件，究竟是银行有内鬼？还是你自己为诈骗分子开启了保安漏洞？一位手机软件开发员就以本身的专业知识，向民众揭露了诈骗集团如何在受害者没有收到一次性验证码（OTP）的情况下盗提，并传授了6个防范措施。这个脸书帖子获得高度关注，至今天中午，已经有2万1000次的分享。

这名手机软件开发员Ah Hong表示，银行的钱会被盗提，很可能是因为受害者安装了来历不明的Android应用程序包（APK），而这些APK在获得读取受害者短讯的权限后，就可以随意读取甚至删除所有短讯，这也解释了为什么受害者在没有收到银行OTP的情况下就被转走血汗钱。

他举例，很多脸书的优惠广告，会要求下载APK付款。而要安装这些非Google Play Store的应用，就必须开启手机的“允许安装未知来源的应用程序”(allow install from unknown resources)的设定，这就等于开启了保安漏洞。

安装完毕后，受害者会被要求设置户头，并需要用简讯（SMS） 做身份验证。这时候如果受害者没有让这个APK获得读取简讯的权限就无法继续，所以当受害者按下授权按钮后，对方就能随意读取或删除受害者所收到的手机简讯。

而这些APK的付款界面都是假的，当受害者输入用户名和密码时，都会显示无法通过，受害者在心急之下，就会继续用其他户口或信用卡来继续支付，这等于是受害者亲手把户口的用户名和密码都交给了诈骗分子。

至于诈骗分子会如何下手呢？

诈骗分子会先传一个简讯给受害者，以确认他们的APK是否可以读取受害者的手机简讯，接着他们会登入受害者的账号，更改受害者的绑定手机密码。一旦成功更改了，他们就可以获取OTP，也不需受害者手机里的OTP来转账了。

而且他们已经获得阅读受害者简讯的授权，所以可以神不知鬼不觉直接删除OTP的简讯，这也解释了为什么受害者根本就没有发现任何OTP的简讯。

 

对此，Ah Hong提出了6个防范措施。

1. 不要安装中国软件，尤其是下载apk的。不要打开 allow install from unknown resources的设定。

2. 如果必须打开来安装一些游戏的话，记得安装后马上关掉allow install from unknown resources设定。

3. 定期检查手机上的应用程式。没用的马上清除掉

4. 要记得电子银行（e-banking） 的认证照片，没看到认证照片就是假的。

5. 记得检查哪个应用程式有使用简讯的权限使用，只开放这个功能给你信任的应用程式。

6. 只安装play store上的应用程式，别安装APK