KYC 與簡訊驗證淪為駭客武器:柬埔寨園區如何發動工業級金融攻擊行動?
近年東南亞詐騙園區的犯罪手法持續演進,早已超越傳統的社交工程或話術誘騙。近期資安業者 Infoblox Threat Intel 與越南非營利組織 Chong Lua Dao 展開一項跨國資安調查,透過追蹤客戶網路中異常的 DNS 流量,發現一個先前未曾被記錄的「惡意軟體即服務」(malware-as-a-service,MaaS)平台。這項調查的指標性意義在於,研究人員首次掌握確切證據,將柬埔寨的強迫勞動詐騙園區與 Android 銀行木馬程式,以及跨境行動銀行詐騙網「直接」連結起來。
調查結果揭露,這個跨國運作的惡意服務具備高度的規模與組織性。這個惡意的 MaaS 平台,每月平均會註冊約 35 個新網域,藉此偽裝成各國的銀行、社會安全機構、稅務機關、公用事業甚至是執法單位。
目前已知的攻擊範圍橫跨全球至少 21 個國家,並主要利用偽造的 Android 官方應用程式作為誘餌展開攻擊,其中又以印尼、泰國、西班牙與土耳其等國最常受害。這些惡意攻擊也會藉由模仿公共機構或受信任的金融機構,利用受害者對官方通訊和緊急服務訊息的信任,來誘騙他們下載惡意軟體。因此,這項發現不僅證實詐騙園區的技術升級,更敲響全球金融機構與各國政府的警鐘。
防禦機制淪為攻擊破口,假 App、KYC 與木馬程式串起跨國犯罪鏈
根據調查結果,受害者一旦安裝偽造的銀行或政府 App,木馬程式便會取得裝置的廣泛控制權。隨後,惡意軟體會在偽造的「認識客戶」(KYC)流程中,蒐集受害者的個資、臉部辨識等生物特徵資料。更嚴重的是,這套惡意程式還能攔截包含 SMS 一次性密碼(OTP)的簡訊,並直接登入真實的行動銀行 App 來進行跨境資金轉移。
這些現象,使得原本作為防線的生物辨識與簡訊驗證,反而變成攻擊破口,淪為帳戶接管行動的一部分。研究者指出,這種手法並非單次零星的詐騙,而是一條有組織、可重複利用且跨國運作的服務型犯罪鏈。
從殺豬盤到帳戶盜取:柬埔寨詐騙園區犯罪模式再升級
至於這條有組織、可重複利用且跨市場運作的服務型犯罪鏈源頭,研究指向柬埔寨的「K99 Triumph City」園區。這次調查之所以能將惡意軟體與實體園區連結,關鍵在於有幾名受困於該園區的受害者向 Chong Lua Dao 請求救援。這些受害者獲救後,提供內部封閉群組的聊天紀錄、螢幕截圖等資料,明確證實惡意軟體攻擊行動與 K99 Triumph City 園區的連結。「多年來我們都知道這些詐騙園區的存在,也懷疑這些據點有在散播惡意軟體,但這次有了明確證據,」Infoblox Threat Intel 副總裁 Renée Burton 博士強調。
K99 Triumph City 園區過去就曾被聯合國與其他國際組織標記為涉及大規模詐騙與強迫勞動的據點,因此這次的發現,更讓外界清楚看見,這些園區的犯罪模式已從傳統的社交工程與「殺豬盤」(pig butchering)詐騙,進一步延伸到更直接的金融帳戶竊取及監控行動。
各項調查與報導皆指出,目前柬埔寨詐騙園區的相關犯罪活動,已不再僅以話術誘騙為核心,而是進一步利用假 App、KYC 流程、簡訊驗證與真實的銀行 App,串聯成一條可跨境複製的金融詐騙與惡意軟體攻擊鏈。這項趨勢也強烈提醒金融機構與各國政府,面對不斷演進的威脅,必須提升行動裝置的安全防護機制,並超越傳統僅仰賴簡訊與基本生物辨識的驗證方式,才能有效強化防詐的韌性。
*本文開放合作夥伴轉載,資料來源:《TechRadar》、《Intelligent CISO》、《SecurityBrief》1、《SecurityBrief》2,首圖來源:Unsplash