臉書是很容易散佈帶有惡意程式的軟體,最近網路火紅的 OMG 測驗遊戲被傳出會導致信用卡盜刷,若是根據 OMG 本身可以從 FB 取得的資訊絕對沒有可能取得使用者的信用卡資訊,那為什麼新聞媒體報導的 OMG 臉書測驗遊戲又是如此可疑呢?原來問題是出在使用者本身點了廣告。
事情的爆發點在爆料公社,網友指出在他玩了臉書上熱門的 OMG 測驗遊戲之後被盜刷信用卡,且臉書還被強制登出,消息一 PO 出來第一時間很多人紛紛撻伐是 OMG 遊戲做了如此惡意的行為,但是其實硬大自己也有玩 OMG 測驗遊戲,在開始遊戲前有熟讀權限需求並注意遊戲提供的內‵容,OMG 是無法從 FB 直接拿到我們的任何機密資訊的。
遊戲要上架到 FB 必須經過一連串的審核機制,會需要存取那些用戶資料都必須詳細的說明,通過審核後才可上架。不僅如此,當大家在玩臉書遊戲前也會明確的讓使用者知道這個程式將需要你的那些資料,非常清楚、公開、透明,OMG 在 Facebook 中歸類為「即時遊戲(instant games)」,直接來看它跟我們拿了什麼資料:
Galaxy Tab S10 Ultra 平板 AI 工作術 | #AI平版 幫你提升工作效率!
完全取自 OMG 遊戲的權限需求,明顯的看到它只跟使用者要求姓名大頭照、性別、朋友與聯繫對象、語言、時區這幾項資訊,並沒有所謂的信用卡或個人隱私資訊,使用者也不用擔心 OMG 會不會拿了這些資訊後順手牽羊拿其他資訊,除非存在漏洞。
在 FB 的嚴格安全機制運作下,使用者同意給 OMG 資料後,FB 才會依據使用者同意的部分提供資料,要一給一,沒有額外,看起來百密一疏,那麼網友究竟如何被”盜刷”信用卡?
電腦使用環境複雜,瀏覽網頁已經不是單純瀏覽網頁這麼簡單,包括下載檔案、開啟網頁、播放音樂、點擊廣告甚至什麼事情都沒做都有可能被惡意程式入侵,而潛藏在瀏覽器和網頁中的攻擊/入侵方式是最難被發現的,尤其是點擊廣告或打開網頁,這是最不可控的,只能仰賴具備網頁過濾的防毒軟體(如 PC-cillin 2019 雲端版)協助。
申訴 Google Play 問題交易
這個案例中,網友發現信用卡刷卡的時間是在收到 Google Play 交易成功付款簡訊,也就是說 Google Play 上會有交易紀錄,是被盜用還是不小心按了廣告被引導到付款就很簡單了(自己一定知道剛才按了什麼),即使被盜刷也可以立刻申訴。
檢查方式先打開 Android 手機的 Play 商店,在畫面左上角點選選單→帳戶→訂單紀錄 就可以查到扣款項目,如果你是無意刷卡或真的被盜刷的也不用擔心,用網頁打開 Google Play 訂單紀錄回報問題就能申請退款。
ps. 惡意刷退可能會導致日後申請退款問題。
▲ Google Play 被盜刷可以此選項回報問題。
類似的事件大家未來可能也會遇到,畢竟有些廣告設計的實在太難讓人察覺異常,不知不覺就被引導到付款步驟,但不管設計得如何精緻,在最後付款的步驟一定要”清醒”過來,若是透過 Google Play 付款會彈出付款確認視窗,透過 iTunes 付費也會有指紋辨識或輸入密碼的再確認的動作。
刪除 OMG 測驗遊戲
說回來 OMG 測驗遊戲,雖然它本身沒有涉及隱私問題,但網頁內的廣告不排除可能性,但問題不一定出在網站本身,現在許多廣告都是透過廣告聯播平台播送(如 Google、Facebook 廣告),播送廣告平台難以即時發現並阻擋惡意廣告,最安全防範之道是每個人都有一定的資訊安全的基礎知識。
如果無論如何不想繼續使用 OMG 測驗的話,可以在即時遊戲設定頁面將它移除。
