什麼是DTO?

📌 設備接管就像有人拿走你房子的鑰匙

設備接管欺詐（DTO）

攻擊者以各種技術或社會工程手段

取得受害者的裝置控制權（手機、平板的應用/憑證）

利用該裝置執行詐騙（繞過 MFA、竊取 OTP）

攻擊方

📌 用你的裝置去做壞事，讓你變成受害者

偵察：收集目標資訊與使用習慣

取得：

• 透過社交工程、客服漏洞
• 偽裝 App 安裝 RAT、overlay、竊取 OTP/憑證
• 電信訊令層弱點攔截簡訊/通話
• 未使用裝置指紋或安全綁定

控制：關閉防護（關掉防毒、移除裝置通知）、持久化後門、MFA 繞過

清除：清除日誌、變更回報路徑

防禦方

📌 不安裝不知道來源的 App

• 註冊時綁定裝置指紋（硬體指紋、證書）
• 使用 FIDO2/WebAuthn、硬體安全模組或軟體令牌
• 當偵測到 SIM 變更或裝置變更時，強制重新驗證與人工確認
• 混淆、完整性檢查、root/Jailbreak 檢測、防 overlay/屏蔽截圖
• 偵測並過濾可疑 signalling/SS7 活動（若可行）
• 日誌不可變（WORM）與異常告警（SIEM 規則：裝置屬性改變、OTP 異常使用）
• 最小權限與交易風險限制
• 確保第三方 SDK/服務不會洩露裝置辨識或提供繞過方式

如何觀察?

📌 忽然收到很多你沒發出的簡訊或電話通知

• 突然的 SIM 或裝置指紋變更、裝置註冊地點/時區突變
• 大量 OTP 請求、重複失敗嘗試、OTP 在未預期裝置上被使用
• 出現未知外發連線（C2）、非平常時間的網路流量
• 短時間內重複註冊同一帳號到不同裝置或 IP
• 日誌刪除或系統時間被修改的痕跡
• SIM 切換時的客服請求紀錄

結論

📌 設備接管欺詐利用弱點取得目標裝置控制權

繞過身份驗證或發動金融詐騙的攻擊手法

強化裝置綁定與應用端防護

減少對 SMS OTP 的依賴

加入風險化驗證與行為分析

日誌保護機制、偵測異常裝置

📌 裝置都要做好憑證和安全綁定