最近打开网络，银行户口被盗领资金的情况层出不穷，甚至是没收到OTP，自己的血汗钱就被统统转走，这究竟是不法分子手段太高超，还是银行真的出现了所谓的“内鬼”？

（完整贴文：查询此处）

关于这个问题，任职手机软件开发员的网友Ah Hong就在脸书上发表了自己的见解，他指出，这种情况很有可能是因为我们安装了来历不明的App，以Android手机为例，我们为了安装非Google Play Store的应用，会开启allow install from unknown resources的设定，这个设定让我们得以从第三方应用安装App，也开启了一个漏洞。

App如何盗取你的钱财？

一些恶意软件会调用手机的SMS权限，这让他们可以查看甚至是删除你收到的信息，这也解释了为什么有些人会在没收到OTP的情况下被转走血汗钱，这不是因为你没收到，而是已经被别人读取并删除了。更有甚者会直接更换绑定的电话号码，到时候OTP什么的就真的与你无关了。

因此，大家要做的事情就是非必要的时候就关闭Android手机内的allow install from unknown resources的设定。

再来就是检查SMS权限正在被什么手机应用调度，最好是非必要的情况下就禁用SMS的权限，又或是删除一些奇怪的App，比方说明明是相机应用却阅读SMS权限的，这明显就很可疑。

接着是注意后台正在运作的App，后台的App也有可能调用手机的权限，所以尽量不留一些第三方管道安装的App在后台运作，不过小编这里建议有任何可疑App就应当立马删除。

最关键还是避免第三方应用泛滥

Ah Hong认为，这之中最关键的还是allow install from unknown resources，毕竟Play store有安装机制会相对安全，如果一些第三方应用像是《王者荣耀》足够可靠也信得过，但是一旦打开这个设定不关闭，就相当于给了那些可疑App一个通行证，在你不知不觉的情况下偷取钱财，所以重点就是记得要关。

也有一些特殊案例是收到不明的信息或电话账号就被盗了，这其实是因为有些App在锁屏后就无法运作，所以需要用户打开手机来让它们恢复运作，这样一来就能达到偷盗账号的目的，所以这些信息和通话只是为了让诈骗应用运行的前置动作而已，能不接就尽量不接，但还是回到小编之前说的，直接删掉可疑的第三方应用会更安全。

可以看到，Ah Hong提到的重点就是第三方应用，其实类似的案例小编也报道了不少，像是之前有人上架安全的应用骗过Google Play Store，安装后要求你打开权限来安装来自他们的第三方App，这就是足以盗取资讯的诈骗应用，因此关键还是避免第三方应用的进入，这样最为安全。

银行登录，Secure Phrase也很重要

Ah Hong也补充，其实像是iOS这样相对封闭的系统也不是完全的安全，并表示日后有机会分享更多，有提及的是一些伪装成银行界面的应用，先是引诱你输入账号和密码再假装转账失败，然而你的户口资料再这个过程中已经转发给其他人了。

对应这一点的分辨方法，就是记得要看看银行会不会提供secure Phrase，如果该登陆界面没提供就千万不能填写。

最后他也说道，诈骗手法有很多种，并不是每个案例都和他说的一样，又或是有些App可能在安装了几个月，让你放下戒心后再动手，才会出现“我什么都没做但还是被盗”的感觉。Ah Hong强调，他认为大家不应该就此拒绝网购等活动，而是要学会保护自己，提高警惕，因为诈骗手法会持续进步，我们也对随时学习才行。