星洲网
星洲网
星洲网 登录
我的股票|星洲网 我的股票
Newsletter|星洲网 Newsletter 联络我们|星洲网 联络我们 登广告|星洲网 登广告 关于我们|星洲网 关于我们 活动|星洲网 活动

ADVERTISEMENT

ADVERTISEMENT

星洲人

|

VIP文

|
发布: 5:30pm 11/06/2022

银行

盗提

星期天头条

银行

盗提

星期天头条

盜提該怎防(1) | 老千盜提 非亂槍打鳥 一步步誘你入坑

“不少民眾認為是銀行系統存有漏洞,但實際上銀行會不時進行滲透測試(Penetrationtest),即聘請駭客攻擊自身系統找出弱點進行補強完善,因此銀行的安全系統非外界所傳如斯脆弱,而更常見的情況,反而是民眾在未察覺的情況下暴露個資。”

報道:連俊傑

ADVERTISEMENT

Flat design concept hacker activity cyber thief on internet device. Vector illustrate.

銀行戶頭裡多年儲蓄被不法之徒彈指之間轉移掏空的事件,讓民眾人心惶惶懼怕成為下一位受害者,甚至連電話都不敢接,更怪罪銀行保安系統出現漏洞,但警方和專家認為,詐騙集團並非亂槍打鳥,而是有計劃性的通過大數據物色目標,再一步一步引誘受害者步入陷阱而不自覺。

全國警察商業罪案調查部(網絡與多媒體罪案)副總監維克多高級助理總監說,目前發生的銀行存款遭盜提事件,明顯是網絡釣魚犯罪手法,即受騙者被要求安裝手機應用程式以進行付款時提供了資料,警方到目前為止未接獲任何銀行投報指安全系統遭入侵。

雷蒙指民眾的銀行積蓄被轉走,多數禍因是和受害者有關。(黃玲玲攝)
專家:銀行安全系統不脆弱

審查網絡欺詐的專家雷蒙也表示,“不少民眾認為是銀行系統存有漏洞,但實際上銀行會不時進行滲透測試(Penetrationtest),即聘請駭客攻擊自身系統找出弱點進行補強完善,因此銀行的安全系統非外界所傳如斯脆弱,而更常見的情況,反而是民眾在未察覺的情況下暴露個資。”

最主要的關鍵是匪徒會以各種各樣的方法誘騙當事人填寫資料,不管是在付款程式時輸入銀行賬戶名和密碼,還是曾經下載置入惡意軟件應用程式,就有可能成為被盜提的對象。

也是註冊反欺詐審查師的雷蒙接受《星洲日報》獨家專訪,揭露了不法集團如何有計劃性的一步一步的引君入甕。

部署計劃性陷阱

●虛假網站──架設虛假網站,以大促銷廣告引誘受害者上鉤,在付款系統中套取銀行資料

雷蒙說,“現今的科技社會中,任何人皆可輕易通過購買網頁地址(URL)來架設網站,這正是不法集團用於掏空民眾銀行存款的利器。”

例如消費人想購買一條牛仔褲,瀏覽網站時會跳出各式各樣的類似網頁,一些優惠促銷更是吸引眼球,但這可能就是不法之徒用來套取個人識別信息(PII)的虛假網站。

他表示,一旦民眾誤入類似虛假網站,在點選任何請求同意選項的同時,在網站的一舉一動會被運行的小型文本文件“COOKIE”自動記錄下來,成為不法之徒用於目標性行銷(TargetMarketing)的參考數據。

“不法之徒會根據所統計數據來鎖定目標及投放令對方感興趣的虛假廣告,再通過在臉書投放贊助廣告,讓臉書用戶更容易在主頁看見有關廣告內容,之後便等待目標自投羅網。”

他說,不法之徒會利用誇大的廣告標語,包括清倉大促銷、限定24小時或是遠低於市價的產品促銷,令潛在目標產生極大興趣,並在著急心態下點入廣告,隨即被帶入虛假網站及付款系統套取目標的個資及銀行資料。

●惡意軟件──在應用程式包(APK)植入惡意軟件誆騙目標下載,騎劫受騙者手機的短訊系統

雷蒙表示,不法之徒另一個手法是將惡意軟件植入安卓(Android)應用程式包(APK)內,再以各種方式誆騙或吸引目標下載安裝,接著惡意軟件便會驅動,並騎劫受騙者手機的短訊系統。

“在安裝經由非官方渠道下載的Android應用程式包時,會彈出尋求同意的提示窗口,只要一按下,潛藏在內的惡意軟件便會被驅動,只要民眾進行匯款,一次性密碼(OTP)就會被前者攔截。”

他透露,只要不法之徒成功取得一次性密碼,便可輕而易舉在事主未察覺的情況下轉走銀行積蓄,基於盜提者以小數額分批轉賬,因此銀行亦難以即刻察覺異常。

●釣魚式攻擊──冒充單位發送含有鏈接的電郵或是短訊,誘使受害者點擊和填寫資料

雷蒙提及,除了上述2種較為常見的手法外,不法之徒還會利用社交工程(SocialEngineering)中的技巧,以釣魚式攻擊(Phishing)冒充有信譽的單位向目標發送含有鏈接的電郵或是短信,誘使他自主點入,並依據指示填寫資料,而輕易獲得目標個資。

“遭盜取的個資不是被用於搬空銀行積蓄的用途,就是被統合出賣給其他不法集團作為詐騙目的,或是流入暗網(DarkWeb)。”

●木馬程式──駭入手機盜取資料,成本高,以企業為目標

網絡安全服務集團LGMS公司執行主席的馮宗福告訴本報,也有一些不法集團會採用木馬程式駭入手機盜取資料,但這種方式成本較高,因此一般鎖定的目標都是企業,受騙者通常不會是個人。

他解釋,這是因為無論是開發木馬程式或僱用懂得技術的駭客接觸目標,都需要較高的成本。

但無論如何,公眾切勿使用公共WiFi上網服務進行線上轉賬或付款功能,以免讓駭客有機會植入木馬程式。

●綁定支付平臺─高風險群體將銀行卡綁定支付平臺,駭客可利用外洩的個資轉走錢

馮宗福也說,上網時習慣瀏覽不安全網站或下載可用以盜竊銀行資料的軟件的人,屬於高風險組體,如果他們將銀行卡綁定可進行支付的平臺如電子錢包或線上訂閱服務,一旦有關電子錢包的個資外洩時,駭客可利用相關平臺轉走錢,受害者可能不會收到任何驗證碼。

雷蒙接受《星洲日報》專訪時,現場教導記者如何分辨網頁真偽。(黃玲玲攝)
盜款四處流轉 警方難查去向

一旦銀行積蓄遭不法之徒掏空,追回款項的幾率近乎於零。

雷蒙透露,當民眾的銀行積蓄被掏空轉移到出去時,有關款項會在不同的錢騾賬戶之間轉動,令執法單位難以追查動向。

“不法之徒只需點一個按鍵,即可將款項分批匯至不同的錢騾戶頭,警方需耗費很多時間逐一追查款項去向。”

他表示,警方在調查類似案件時,往往只能在款項流動記錄中尋找線索,而無法提前判定款項最終將流向何方。

“即便錢騾戶頭持有者被捕,也難以揪出罪案的幕後主使,因此,最重要的還是民眾需自我提高警惕意識。”

分辨假網站 藏在細節中

民眾在進行線上付款時,若發現有關網站的網址前綴是HTTP而不是HTTPS時,那麼很可能就是陷入詐騙集團的圈套,應立刻離開有關網站,以保障自身財務安全。

雷蒙指出,由不法之徒架設的虛假網站及支付系統頁面,網址皆為超文本傳輸協議(HTTP),而非受保護網頁內容所使用的超文本傳輸安全協議(HTTPS),因此民眾從網址可初步鑑別真偽。

“再者,民眾還可仔細觀察頁面上的圖片或是詞語(phrase),是否存在顏色偏異或是語法錯誤,來辨別網頁真偽。”

他提及,不少銀行在顧客開設線上賬號時,會要求後者選擇一張圖片或是詞語做為安全識別暗號,若民眾在支付網頁時沒有看到有關圖片/詞語,或是與自身選擇的不符,即意味著有關網站不實,應立即關閉頁面。

雷蒙說,公眾還可以留意的是,若是針對安卓(Android)應用程式包(APK)植入惡意軟件,被安裝的手機將出現異常耗電的情況。

“若手機耗電量很大,可到專業店鋪檢查電池壽命。若鑑定結果證實與電池無關,證明手機被植入惡意軟件,可由專人協助檢查手機或安裝手機版的掃毒軟件去清除手機內的惡意軟件。”

相關文章:
盜提該怎防(2)|警:未接獲銀行遭駭投報 網絡釣魚釣走存款
盜提該怎防(3)|銀行公會:採生物特徵認證 強大安全機制 檢測詐騙
盜提該怎防(4)|盜提個案個案逐個看

ADVERTISEMENT

热门新闻

百格视频

ADVERTISEMENT

点击 可阅读下一则新闻

ADVERTISEMENT