“不少民众认为是银行系统存有漏洞,但实际上银行会不时进行渗透测试(Penetrationtest),即聘请骇客攻击自身系统找出弱点进行补强完善,因此银行的安全系统非外界所传如斯脆弱,而更常见的情况,反而是民众在未察觉的情况下暴露个资。”
报道:连俊杰
ADVERTISEMENT
银行户头里多年储蓄被不法之徒弹指之间转移掏空的事件,让民众人心惶惶惧怕成为下一位受害者,甚至连电话都不敢接,更怪罪银行保安系统出现漏洞,但警方和专家认为,诈骗集团并非乱枪打鸟,而是有计划性的通过大数据物色目标,再一步一步引诱受害者步入陷阱而不自觉。
全国警察商业罪案调查部(网络与多媒体罪案)副总监维克多高级助理总监说,目前发生的银行存款遭盗提事件,明显是网络钓鱼犯罪手法,即受骗者被要求安装手机应用程式以进行付款时提供了资料,警方到目前为止未接获任何银行投报指安全系统遭入侵。
专家:银行安全系统不脆弱
审查网络欺诈的专家雷蒙也表示,“不少民众认为是银行系统存有漏洞,但实际上银行会不时进行渗透测试(Penetrationtest),即聘请骇客攻击自身系统找出弱点进行补强完善,因此银行的安全系统非外界所传如斯脆弱,而更常见的情况,反而是民众在未察觉的情况下暴露个资。”
最主要的关键是匪徒会以各种各样的方法诱骗当事人填写资料,不管是在付款程式时输入银行账户名和密码,还是曾经下载置入恶意软件应用程式,就有可能成为被盗提的对象。
也是注册反欺诈审查师的雷蒙接受《星洲日报》独家专访,揭露了不法集团如何有计划性的一步一步的引君入瓮。
部署计划性陷阱
●虚假网站──架设虚假网站,以大促销广告引诱受害者上钩,在付款系统中套取银行资料
雷蒙说,“现今的科技社会中,任何人皆可轻易通过购买网页地址(URL)来架设网站,这正是不法集团用于掏空民众银行存款的利器。”
普通会员 | VIP | VVIP | |
---|---|---|---|
星洲网平台内容 | |||
星洲公开活动 | |||
礼品/优惠 | |||
会员文 | |||
VIP文 | |||
特邀活动/特级优惠 | |||
电子报(全国11份地方版) | |||
报纸 | |||
例如消费人想购买一条牛仔裤,浏览网站时会跳出各式各样的类似网页,一些优惠促销更是吸引眼球,但这可能就是不法之徒用来套取个人识别信息(PII)的虚假网站。
他表示,一旦民众误入类似虚假网站,在点选任何请求同意选项的同时,在网站的一举一动会被运行的小型文本文件“COOKIE”自动记录下来,成为不法之徒用于目标性行销(TargetMarketing)的参考数据。
“不法之徒会根据所统计数据来锁定目标及投放令对方感兴趣的虚假广告,再通过在脸书投放赞助广告,让脸书用户更容易在主页看见有关广告内容,之后便等待目标自投罗网。”
他说,不法之徒会利用夸大的广告标语,包括清仓大促销、限定24小时或是远低于市价的产品促销,令潜在目标产生极大兴趣,并在著急心态下点入广告,随即被带入虚假网站及付款系统套取目标的个资及银行资料。
●恶意软件──在应用程式包(APK)植入恶意软件诓骗目标下载,骑劫受骗者手机的短讯系统
雷蒙表示,不法之徒另一个手法是将恶意软件植入安卓(Android)应用程式包(APK)内,再以各种方式诓骗或吸引目标下载安装,接著恶意软件便会驱动,并骑劫受骗者手机的短讯系统。
“在安装经由非官方渠道下载的Android应用程式包时,会弹出寻求同意的提示窗口,只要一按下,潜藏在内的恶意软件便会被驱动,只要民众进行汇款,一次性密码(OTP)就会被前者拦截。”
他透露,只要不法之徒成功取得一次性密码,便可轻而易举在事主未察觉的情况下转走银行积蓄,基于盗提者以小数额分批转账,因此银行亦难以即刻察觉异常。
●钓鱼式攻击──冒充单位发送含有链接的电邮或是短讯,诱使受害者点击和填写资料
雷蒙提及,除了上述2种较为常见的手法外,不法之徒还会利用社交工程(SocialEngineering)中的技巧,以钓鱼式攻击(Phishing)冒充有信誉的单位向目标发送含有链接的电邮或是短信,诱使他自主点入,并依据指示填写资料,而轻易获得目标个资。
“遭盗取的个资不是被用于搬空银行积蓄的用途,就是被统合出卖给其他不法集团作为诈骗目的,或是流入暗网(DarkWeb)。”
●木马程式──骇入手机盗取资料,成本高,以企业为目标
网络安全服务集团LGMS公司执行主席的冯宗福告诉本报,也有一些不法集团会采用木马程式骇入手机盗取资料,但这种方式成本较高,因此一般锁定的目标都是企业,受骗者通常不会是个人。
他解释,这是因为无论是开发木马程式或雇用懂得技术的骇客接触目标,都需要较高的成本。
但无论如何,公众切勿使用公共WiFi上网服务进行线上转账或付款功能,以免让骇客有机会植入木马程式。
●绑定支付平台─高风险群体将银行卡绑定支付平台,骇客可利用外泄的个资转走钱
冯宗福也说,上网时习惯浏览不安全网站或下载可用以盗窃银行资料的软件的人,属于高风险组体,如果他们将银行卡绑定可进行支付的平台如电子钱包或线上订阅服务,一旦有关电子钱包的个资外泄时,骇客可利用相关平台转走钱,受害者可能不会收到任何验证码。
盗款四处流转 警方难查去向
一旦银行积蓄遭不法之徒掏空,追回款项的几率近乎于零。
雷蒙透露,当民众的银行积蓄被掏空转移到出去时,有关款项会在不同的钱骡账户之间转动,令执法单位难以追查动向。
“不法之徒只需点一个按键,即可将款项分批汇至不同的钱骡户头,警方需耗费很多时间逐一追查款项去向。”
他表示,警方在调查类似案件时,往往只能在款项流动记录中寻找线索,而无法提前判定款项最终将流向何方。
“即便钱骡户头持有者被捕,也难以揪出罪案的幕后主使,因此,最重要的还是民众需自我提高警惕意识。”
分辨假网站 藏在细节中
民众在进行线上付款时,若发现有关网站的网址前缀是HTTP而不是HTTPS时,那么很可能就是陷入诈骗集团的圈套,应立刻离开有关网站,以保障自身财务安全。
雷蒙指出,由不法之徒架设的虚假网站及支付系统页面,网址皆为超文本传输协议(HTTP),而非受保护网页内容所使用的超文本传输安全协议(HTTPS),因此民众从网址可初步鉴别真伪。
“再者,民众还可仔细观察页面上的图片或是词语(phrase),是否存在颜色偏异或是语法错误,来辨别网页真伪。”
他提及,不少银行在顾客开设线上账号时,会要求后者选择一张图片或是词语做为安全识别暗号,若民众在支付网页时没有看到有关图片/词语,或是与自身选择的不符,即意味著有关网站不实,应立即关闭页面。
雷蒙说,公众还可以留意的是,若是针对安卓(Android)应用程式包(APK)植入恶意软件,被安装的手机将出现异常耗电的情况。
“若手机耗电量很大,可到专业店铺检查电池寿命。若鉴定结果证实与电池无关,证明手机被植入恶意软件,可由专人协助检查手机或安装手机版的扫毒软件去清除手机内的恶意软件。”
相关文章:
● 盗提该怎防(2)|警:未接获银行遭骇投报 网络钓鱼钓走存款
● 盗提该怎防(3)|银行公会:采生物特征认证 强大安全机制 检测诈骗
● 盗提该怎防(4)|盗提个案个案逐个看
ADVERTISEMENT
热门新闻
百格视频
ADVERTISEMENT