这年头什么行业都在进步,骗子也在“精益求精”ing。
以往的钓鱼短信多以“难以置信的好康”为饵引公众上钩点击链接。现在却通过“看起来就更正规”的SMS短信,谎称用户的银行账号或信用卡有问题,利用恐慌心理误导他们在钓鱼网站输入真实的网银用户名和密码,然后转走账户内的存款。
近期被盯上惨遭毒手的华侨银行形容说,最新一轮钓鱼骗局特别具攻击性且协调度高。
去年12月1日至29日间,共有469名华侨银行客户坠入钓鱼短信骗局,受骗总款额高达850万新元。
一名从事电子商务的男子受访时告诉《海峡时报星期刊》,他去年12月21日中午收到一条手机简讯,称名下的华侨银行户头添加了一个不知名的收款人。如果是未经授权的话,就必须点击简讯中的链接进入账户。
不愿透露姓名的男子说:“简讯很逼真,跟银行以往发出的信息出现在同一个聊天记录。”
点击链接后,就出现了一个与银行网站几乎一模一样的网页,这名男子于是按要求输入了银行资料。两人当天下午6时收到银行发来信息,通知转账以及账户的一些变更,才惊觉户头内的12万新元储蓄全被转走了。
那么,华侨银行钓鱼短信骗案是如何运作?我们要如何避免“中套”呢?
一、为何骗子可以让假信息出现在OCBC的真信息号里面?
近期利用钓鱼短信(SMS)攻击华侨银行用户的不法分子,主要是利用改号欺诈(number spoofing)方式,在公众的银行短信页面中插入诈骗短信。由于短信中的发件人显示为“华侨银行”,实在让公众难辨真假。
听起来不可思议?其实不然。
追根到底,是骗子们利用了SMS短信的设计漏洞。
每条短信发出时都会带有“Sender ID”,Sender ID是在收件人手机上显示为发件人的名称,像我们这样的普通用户是看不见的。
例如,在华侨银行钓鱼短信骗案中,骗子很轻易地就把“Sender ID”编改为OCBC。最糟糕的是,我们的手机会通过“Sender ID”的名称对短信进行分组。于是,真假信息全都出现在写着OCBC名称的短信页面上,从而误导我们。
最可怕的是,骗子们如今可以轻易地将“Sender ID”编改为任何名称,细思极恐。
网民Captain Sinkie就以身示教,在互联网上找到了一个可以编改“Sender ID”的网站。
他分别将消息伪装为“星展银行”、“Gov.sg”、“国防部72255”发sms简讯给自己,结果证实这些信息都能成功鱼目滚珠。
随着不法分子在技术上的升级,蚁粉今后在收到任何机构发出的索求个人资料的短信时,应该直接拨打该机构的正规热线查询(千万不要致电简讯中提供的号码),更不要随意给出个人资料。
二、骗子设计的钓鱼网站与银行官网看上去一模一样,如何辨认?
一名来自印度、在本地工作近11年的软件工程师(38岁)在骗局里,痛失OCBC账户内的25万新元。
本身就是IT专家的他说,完全没料到自己会受骗,因为点击短信中的链接后,出现的页面与银行官网“完全相似”(exactly similar)。
其实,银行从不发简讯通知有关账户冻结或关闭事宜,而是会寄信通知。
银行也从不会发出带有能“激活账户”链接的简讯。激活账户只能在银行和网银上办理。
切记,不要点击任何能导入银行网站的链接。若真要查看此事,应该自行输入银行官网地址或在官方手机应用上操作。
三、转款通常需要一次性密码(OTP),为何有些人没收到OTP钱就被转走了?
A、骗子激活电子密码生成器,无需通过OTP的短信方式来验证转账
华侨银行解释说,受害人在钓鱼网站输入访问代码、个人密码和OTP时,被不法分子盗取了这些银行信息。
然后骗子以这些信息,在自己的设备上,激活了用作验证转账的电子密码生成器。
这么一来,骗子就无需通过OTP的短信方式来验证转账。因此受害人没有收到OTP的短信,存款早就被悄悄地转走了。
B、短信OTP有可能被恶意软件“拦截”,导致受害人无法收到
网络安全公司Acronis的首席信息安全官Kevin Reed推测,短信OTP有可能被恶意软件“拦截”了,所以受害人无法收到。
客户使用手机浏览网站时,在不知情的情况下,下载了不明软件,导致手机被恶意软件入侵。
恶意软件主要以“软件更新”之名,通过弹出式(pop up)广告要求用户点击下载更新软件,否则将无法继续启动服务。
一旦手机被恶意软件入侵,黑客便能“操控”手机,获取用户的银行资料,并“拦截”(intercept)发送至手机的OTP来进行网上交易。
不过Kevin Reed说,这种情况更可能发生在安卓手机上,因为安卓手机的应用程序会要求短信访问。不过如果手机操作系统存在漏洞(未及时更新),iPhone用户也可能会受到攻击。
Kevin Reed说,黑客还可以用偷来的银行户口登录信息,侵入受害者的银行账户,更改手机号码,让OTP发送到黑客手机,而不是账户持有人。
但一些银行已经有对应措施避免上述情况发生。
例如,要求客户亲自到银行更改手机号、设置冷静期不能马上使用新的手机号进行交易、或发送通知到新的和旧的手机号码,好让账户持有人能及时发现账户资料被恶意更改。
不过,在某些情况下,诈骗者可能会关闭通知功能,让受害者收不到有关的诈骗警报。
另外,黑客还可以通过破坏用于数据管理的移动基础设施SS7手机网络来延迟或删除短信。
黑客还可以通过改号欺诈的方式,以受害人的手机号码,收到一份OTP的短信副本。
C、短信OTP有可能被骗子“转移”到国外电讯公司
Kevin Reed说,黑客也有可能侵入海外电信公司的系统,利用它们更改新加坡受害者使用的手机号码的所在位置。
这使新加坡电信网络误以为受害人目前在外国,而把网撤换到其他国家的网络漫游服务。
当银行发送短信OTP时,这些OTP就被转移到海外的移动网络系统,并被黑客窃取。
因此Kevin Reed认为,最好的保护措施是“不能完全依赖短信OTP进行安全验证。
华侨银行原计划在2022年3月31日之前逐步淘汰实体密码生成器,过渡到完全数码化的身份验证流程。
但华侨银行近日突然宣布,将继续允许客户使用实体密码生成器(token)进行安全验证。
四、在网络钓鱼诈骗中,银行需承担责任吗?
律师们说,在网络钓鱼诈骗案中,如果银行信息技术系统达标,而受害者是被误导而泄露自己的个人银行信息,导致金钱损失,就必须为自己的过失负责。
一位律师表示:“尤其是如果你授权了这笔交易,即使你是被骗的,银行一般不会对你因被欺诈而蒙受的损失负责。”
然而,如果银行被发现存在疏忽或违反了与客户的合同(比如没有定期修补系统),它们可能要承担责任。
事发后,一些受害者指责华侨银行反应速度慢,没能及时向客户发出警示,且没有设专门团队来应对骗案。
对此,华侨银行昨天(17日)发文告说,银行自本月8日起已陆续向受害客户作出善意赔偿,至今有30多人获赔。
银行并没有透露赔偿总额,但强调它是在彻底核查和考量每起案件的具体情况后,出于善意补偿。
华侨银行也坦承,在顾客面对压力和焦虑的这段时期,银行的客服素质和反应确实没有达到顾客的要求。
除了设立专门团队协助钓鱼短信骗案受害者,银行也已联系受影响客户,回应他们的担忧,并保证会提供支援。
金管局也发文告指出,金管局期望银行公平对待所有受影响客户。
该局还说,华侨银行将进行彻查,找出银行程序中的缺失并采取必要补救措施。金管局会在银行完成检讨后,考虑采取适当的监管措施。