钓鱼简讯诈骗越变越厉害 中圈套的华侨银行客户称难辨真假
2022-01-20 缘分 20330
华侨银行将彻查找出银行程序中的缺失并采取必要的补救措施。(联合早报)
作者 侯佩瑜
这年头什么行业都在进步,骗子也在“精益求精”ing。
以往的钓鱼简讯多以“难以置信的好康”为饵引公众上钩点击连结。现在却通过“看起来就更正规”的SMS简讯,谎称用户的银行账号或信用卡有问题,利用恐慌心理误导他们在钓鱼网站输入真实的网银用户名和密码,然后转走账户内的存款。
近期被盯上惨遭毒手的华侨银行形容说,最新一轮钓鱼骗局特别具攻击性且协调度高。
去年12月1日至29日间,共有469名华侨银行客户坠入钓鱼简讯骗局,受骗总款额高达850万新元。
一名从事电子商务的男子受访时告诉《海峡时报星期刊》,他去年12月21日中午收到一条手机简讯,称名下的华侨银行户头添加了一个不知名的收款人。如果是未经授权的话,就必须点击简讯中的连结进入账户。
不愿透露姓名的男子说:“简讯很逼真,跟银行以往发出的信息出现在同一个聊天记录。”
点击连结后,就出现了一个与银行网站几乎一模一样的网页,这名男子于是按要求输入了银行资料。两人当天下午6时收到银行发来信息,通知转账以及账户的一些变更,才惊觉户头内的12万新元储蓄全被转走了。
那么,华侨银行钓鱼简讯骗案是如何运作?我们要如何避免“中套”呢?
一、为何骗子可以让假信息出现在OCBC的真信息号里面?
近期利用钓鱼简讯(SMS)攻击华侨银行用户的不法分子,主要是利用改号欺诈(number spoofing)方式,在公众的银行简讯页面中插入诈骗简讯。由于简讯中的发件人显示为“华侨银行”,实在让公众难辨真假。
来自华侨银行的假信息。(华侨银行)
听起来不可思议?其实不然。
追根到底,是骗子们利用了SMS简讯的设计漏洞。
每条简讯发出时都会带有“Sender ID”,Sender ID是在收件人手机上显示为发件人的名称,像我们这样的普通用户是看不见的。
例如,在华侨银行钓鱼简讯骗案中,骗子很轻易地就把“Sender ID”编改为OCBC。最糟糕的是,我们的手机会通过“Sender ID”的名称对简讯进行分组。于是,真假信息全都出现在写着OCBC名称的简讯页面上,从而误导我们。
最可怕的是,骗子们如今可以轻易地将“Sender ID”编改为任何名称,细思极恐。 网民Captain Sinkie就以身示教,在互联网上找到了一个可以编改“Sender ID”的网站。
他分别将消息伪装为“星展银行”、“Gov.sg”、“国防部72255”发sms简讯给自己,结果证实这些信息都能成功鱼目滚珠。
Captain Sinkie冒充国防部给自己发回营受训的简讯。(Captain Sinkie)
随着不法分子在技术上的升级,蚁粉今后在收到任何机构发出的索求个人资料的简讯时,应该直接拨打该机构的正规热线查询(千万不要致电简讯中提供的号码),更不要随意给出个人资料。
二、骗子设计的钓鱼网站与银行官网看上去一模一样,如何辨认?
一名来自印度、在本地工作近11年的软件工程师(38岁)在骗局里,痛失OCBC账户内的25万新元。
本身就是IT专家的他说,完全没料到自己会受骗,因为点击简讯中的连结后,出现的页面与银行官网“完全相似”(exactly similar)。
其实,银行从不发简讯通知有关账户冻结或关闭事宜,而是会寄信通知。
银行也从不会发出带有能“激活账户”连结的简讯。激活账户只能在银行和网银上办理。
切记,不要点击任何能导入银行网站的连结。若真要查看此事,应该自行输入银行官网地址或在官方手机应用上操作。
三、转款通常需要一次性密码(OTP),为何有些人没收到OTP钱就被转走了?
A、骗子激活电子密码生成器,无需通过OTP的简讯方式来验证转账
华侨银行解释说,受害人在钓鱼网站输入访问代码、个人密码和OTP时,被不法分子盗取了这些银行信息。
然后骗子以这些信息,在自己的设备上,激活了用作验证转账的电子密码生成器。
这么一来,骗子就无需通过OTP的简讯方式来验证转账。因此受害人没有收到OTP的简讯,存款早就被悄悄地转走了。
未完待续,请点击[下一页]继续阅读
