什麼是DTO?
📌 設備接管就像有人拿走你房子的鑰匙
設備接管欺詐(DTO)
攻擊者以各種技術或社會工程手段
取得受害者的裝置控制權(手機、平板的應用/憑證)
利用該裝置執行詐騙(繞過 MFA、竊取 OTP)
攻擊方
📌 用你的裝置去做壞事,讓你變成受害者
偵察:收集目標資訊與使用習慣
取得:
- 透過社交工程、客服漏洞
- 偽裝 App 安裝 RAT、overlay、竊取 OTP/憑證
- 電信訊令層弱點攔截簡訊/通話
- 未使用裝置指紋或安全綁定
控制:關閉防護(關掉防毒、移除裝置通知)、持久化後門、MFA 繞過
清除:清除日誌、變更回報路徑
防禦方
📌 不安裝不知道來源的 App
- 註冊時綁定裝置指紋(硬體指紋、證書)
- 使用 FIDO2/WebAuthn、硬體安全模組或軟體令牌
- 當偵測到 SIM 變更或裝置變更時,強制重新驗證與人工確認
- 混淆、完整性檢查、root/Jailbreak 檢測、防 overlay/屏蔽截圖
- 偵測並過濾可疑 signalling/SS7 活動(若可行)
- 日誌不可變(WORM)與異常告警(SIEM 規則:裝置屬性改變、OTP 異常使用)
- 最小權限與交易風險限制
- 確保第三方 SDK/服務不會洩露裝置辨識或提供繞過方式
如何觀察?
📌 忽然收到很多你沒發出的簡訊或電話通知
- 突然的 SIM 或裝置指紋變更、裝置註冊地點/時區突變
- 大量 OTP 請求、重複失敗嘗試、OTP 在未預期裝置上被使用
- 出現未知外發連線(C2)、非平常時間的網路流量
- 短時間內重複註冊同一帳號到不同裝置或 IP
- 日誌刪除或系統時間被修改的痕跡
- SIM 切換時的客服請求紀錄
結論
📌 設備接管欺詐利用弱點取得目標裝置控制權
繞過身份驗證或發動金融詐騙的攻擊手法
強化裝置綁定與應用端防護
減少對 SMS OTP 的依賴
加入風險化驗證與行為分析
日誌保護機制、偵測異常裝置
📌 裝置都要做好憑證和安全綁定