原标题:“钓鱼”短信已成风,不少银行已发出打假警告
“尊敬的用户,您的手机银行已于 下午停用,请访问 网站取消停用……”手机收到这样的短信,你会直接点击网站,还是先跟银行核实真伪?3月9日,记者注意到,这是一条如此普通的短信,以至于许多银行用户陷入了网络欺诈的陷阱。
最新的风险预警是郑州银行发布的。3月9日,该行通过微信微信官方账号向用户发出风险警示,称近期有不法分子利用陌生号码向公众发布虚假信息,并在短信中发送伪装成该行链接的钓鱼网站地址,涉嫌电信网络诈骗。郑州银行发布的预警信息显示,犯罪分子主要通过电子邮件窃取个人用户信息,先伪造一条手机银行被禁用的消息,然后将用户分流到假冒的钓鱼网站。
钓鱼网站基本都来自海外,银行的名字都是动态变化的。从多家银行发布的风险预警中,我们可以看到钓鱼网站使用的各种“鱼钩”,有的声称农信社档案即将过期,有的声称手机银行即将倒闭,更有甚者,动态令牌即将过期,ETC设备将被禁用。
具体来说,这些钓鱼网站使用的套路是以虚假贷款申请、手机银行无效或身份证过期为由,诱骗用户点击虚假网页链接,引导用户填写账号、手机号码、登录密码、短信验证码、交易密码等信息。用户完成操作后,罪犯故意将系统页面置于等待状态。在此期间,他们使用其他手机或电脑终端以用户身份登录用户的手机银行或网上银行转账,完成资金盗窃
在这种大规模的网络钓鱼攻击中,攻击者不仅可以获取受害者的敏感信息,还可以作为受害者登录其手机银行系统转账或绑定第三方支付渠道盗取资金。
但银行通常不会以“手机银行无效”、“网银证书无效”、“银行卡无效”、“身份证过期”、“登录密码无效”为由,向用户发送带有嵌入式URL链接的短信、微信或电子邮件。记者注意到,许多银行除了提示外,还在公告中公布了总行及辖内分行营业网点的地址和联系电话,方便用户查找和交流。
一位数据行业观察员告诉记者,大多数网络钓鱼方法是利用电子邮件中的链接将用户带到“银行”网站的“示例”子网,这似乎是合法的,但实际上这些链接会导致网络钓鱼攻击网站。
在郑州银行之前,有很多银行,包括华夏银行、中邦银行、广西金秀农村商业银行、延寿荣兴农村银行、耒阳荣兴农村银行、会宁惠始农村银行、塔城农村商业银行、昆仑银行、确山尹正农村银行等。通过官方微信向用户推送风险预警,并对冒充银行短信的新欺诈手段进行预警。
中国光大银行金融市场部分析师周今天在接受《新京报》采访时表示,国内金融网上业务发展迅速,但国内信息保护和技术安全仍有待提高,少数用户对个人信息安全和钓鱼网站缺乏警惕,国内监管体系和法律有待完善。
了解所研究员卜振星指出,从历史的角度来看,银行遭受的钓鱼攻击没有明显的时间规律,这可能主要是由供应网站的设计决定的。年初不仅是各行各业的良好开端,也是发动网络攻击的时间段。
从网络钓鱼诈骗中幸存下来的最佳策略是首先远离“钩子”。风险预警中,各银行根据自身情况提醒用户。“不要相信不熟悉的电子邮件、短信、电话等。关于网上银行到期、系统升级、安全认证工具升级和密码修改。”华夏银行警告。中邦银行强调,用户要及时更新移动终端的杀毒软件,注意移动终端的信息安全,不要访问来历不明的网站,注意地址栏中域名的变化。
至于用户如何避免被钓鱼,卜振星警告说,不要点击不熟悉的链接,而是访问官方网站,不要随意透露登录密码等敏感信息。如有过期、升级等信息。一定要打官方电话咨询,不要贸然操作。
周进一步指出,要警惕来源不明的广告、链接、图片,尽量避免超链接到网上银行、购物网站、第三方支付平台等与业务、资金密切相关的服务网站。中国需要加快完善相关法律制度,增强对相关违法行为的调查和监督能力,加大处罚力度。
春节以来,监管反应很快。山东银保监管局3月5日发布通知称,近日监测发现存在针对城市商业银行、农村商业银行等中小银行机构客户的短信钓鱼诈骗风险事件,山东银保监管局高度重视,立即采取措施果断处理。立即联系国家互联网应急中心和网络运营商,取缔钓鱼网站的域名和IP地址,向公安机关报案,并向公安刑侦部门举报。同时,引导省级协会和城市商业银行采取技术手段强化安全策略,紧急调整手机银行和网上银行渠道交易规则,提高业务验证水平和系统反欺诈能力。
