網絡安全專家揭露「果汁劫持」(Juice Jacking)攻擊手法正席捲公共充電設施,商場或機場的免費USB充電座或已淪為黑客陷阱。此攻擊利用USB數據通道,僅需數秒即能植入木馬程式,竊取網上銀行等敏感金融資料。本文將深入剖析攻擊原理,並提供4招「零信任」自保指南,助港人防範隨時發生的金融劫難。
即刻【按此】,用 App 睇更多產品開箱影片
安全專家揭露「果汁劫持」攻擊:公共USB端口或已成黑客陷阱,竊取銀行資料
當您在商場、機場或咖啡店,手機電量告急並隨手插入牆上的「免費USB充電座」時,您可能已將自己置於嚴重的金融風險之中。網絡安全專家發出嚴厲警告,一種名為「果汁劫持」(Juice Jacking)的攻擊手法正日益猖獗,黑客可利用一個看似無害的USB端口,在短短數秒內將木馬程式植入您的手機,進而盜取您支付App登入憑證及網上銀行資料。
這種攻擊的隱蔽性極高,因為它利用了公眾對USB便利性的普遍信任。美國聯邦通訊委員會(FCC)及多個國際網絡安全機構均已針對此威脅發布公告,提醒市民停止使用公共場所的USB端口。
致命陷阱:「一個USB頭」運作原理
普羅大眾普遍認為USB線只用作充電,但事實上,標準USB連接線同時包含電力傳輸腳(Power Pins)及數據傳輸腳(Data Pins)。「果汁劫持」攻擊的核心,正是利用了這條數據通道。
網絡安全公司 Kaspersky 的研究指出,攻擊手法主要分為兩類:
數據盜竊(Data Theft): 當用戶將手機插入一個被黑客改裝過的USB端口時,該端口會立即與手機建立數據連接(如同插入電腦)。黑客可執行腳本,繞過用戶許可,將手機內的敏感資料,如聯絡人、相片、訊息甚至已儲存的密碼,全數複製導出。
惡意軟件植入(Malware Injection): 此為更危險的模式。黑客利用USB連接,在用戶手機上安裝惡意軟件,例如「木馬程式」(Trojan)或「鍵盤側錄器」(Keylogger)。
鎖定PayMe/轉數快:木馬的潛伏與攻擊
與傳統的即時攻擊不同,被植入的木馬程式極為隱蔽,它並不會立即發動攻擊,而是會潛伏在手機背景。
當系統偵測到用戶開啟特定應用程式(App)時——例如銀行App等金錢相關的應用程式,甚至是加密貨幣交易所——木馬程式便會被啟動。
屏幕錄製與鍵盤側錄: 惡意軟件會記錄您的所有屏幕點擊及鍵盤輸入。當您輸入支付密碼,或網上銀行的登入名稱和密碼時,所有資訊均會被實時傳送至黑客的伺服器。
覆蓋攻擊(Overlay Attack): 木馬甚至可以在您打開真實的銀行App時,彈出一個偽造的登入頁面。您在假頁面上輸入的資料,便會直接落入黑客手中。
安全顧問指出,一旦黑客掌握了您的支付密碼或雙重認證(2FA)權限,便可在短時間內清空您的電子錢包餘額,將資金轉移至「傀儡戶口」。
自保終極指南:專家教你4招安全充電
面對無處不在的USB陷阱,用戶必須提高警覺。專家建議採取以下「零信任」防禦措施:
【首選】自攜「三腳插頭」充電器(AC Adapter): 這是最安全、最有效的方法。 絕對不要使用公共USB端口。請隨身攜帶您手機原廠的AC充電器(俗稱「火牛」),並使用商場提供的傳統三腳插座(交流電插座)。插座只提供電力,不含數據傳輸功能,黑客無法利用。
【次選】使用「尿袋」(流動電源 Power Bank): 在旅途中,使用您自己的流動電源為手機充電。確保您的流動電源是在可信賴的商店購買。
【必備】使用「USB資料阻斷器」(USB Data Blocker): 如果非不得已必須使用公共USB端口,請務必使用俗稱「USB安全套」(USB Condom)的資料阻斷器。這是一個插在USB線和充電口之間的小型轉接器,其內部物理上切斷了數據傳輸腳,只保留電力腳,從而確保只有電流通過,黑客無法傳輸數據或植入木馬。
【警覺】留意手機提示: 當手機插入可疑端口時,系統或會彈出「信任此電腦?」(Trust This Computer?)或「允許存取資料?」的提示。請立即點選「否」(No)或「僅限充電」(Charge Only),並拔除連接。
總結而言, 「免費」往往是最昂貴的。下次在公共場所看到USB充電口時,應將其視為潛在威脅。黑客正賭上用戶的「圖方便」心態,而保護您銀行帳戶的第一道防線,就是拒絕使用任何來歷不明的USB連接。
【相關報道】
【相關話題】內地客不滿香港酒店提供三腳插 批評科技落後 網民質疑:點解唔用USB插口
出外旅行自備旅行轉插相信是常識。不過,最近竟有內地客來港,拍片批香港酒店「科技落後」,原因是香港酒店提供三腳插口?
Source:ezone.hk