钓鱼简讯诈骗越变越厉害 中圈套的华侨银行客户称难辨真假
2022-01-20 缘分 20180(联合早报)
B、简讯OTP有可能被恶意软件“拦截”,导致受害人无法收到
网络安全公司Acronis的首席信息安全官Kevin Reed推测,简讯OTP有可能被恶意软件“拦截”了,所以受害人无法收到。
客户使用手机浏览网站时,在不知情的情况下,下载了不明软件,导致手机被恶意软件入侵。
恶意软件主要以“软件更新”之名,通过弹出式(pop up)广告要求用户点击下载更新软件,否则将无法继续启动服务。
一旦手机被恶意软件入侵,黑客便能“操控”手机,获取用户的银行资料,并“拦截”(intercept)发送至手机的OTP来进行网上交易。
不过Kevin Reed说,这种情况更可能发生在安卓手机上,因为安卓手机的应用程序会要求简讯访问。不过如果手机操作系统存在漏洞(未及时更新),iPhone用户也可能会受到攻击。
Kevin Reed说,黑客还可以用偷来的银行户口登录信息,侵入受害者的银行账户,更改手机号码,让OTP发送到黑客手机,而不是账户持有人。
但一些银行已经有对应措施避免上述情况发生。
例如,要求客户亲自到银行更改手机号、设置冷静期不能马上使用新的手机号进行交易、或发送通知到新的和旧的手机号码,好让账户持有人能及时发现账户资料被恶意更改。
不过,在某些情况下,诈骗者可能会关闭通知功能,让受害者收不到有关的诈骗警报。
另外,黑客还可以通过破坏用于数据管理的移动基础设施SS7手机网络来延迟或删除简讯。
黑客还可以通过改号欺诈的方式,以受害人的手机号码,收到一份OTP的简讯副本。
女大学生不疑有诈点击简讯上的连结转到假银行网站输入资料,几个小时后在同个平台接到真的银行简讯通知,指有人更换她账户绑定的电话号码,才发现户头里的2万元已被转走。(联合早报)
C、简讯OTP有可能被骗子“转移”到国外电讯公司
Kevin Reed说,黑客也有可能侵入海外电信公司的系统,利用它们更改新加坡受害者使用的手机号码的所在位置。
这使新加坡电信网络误以为受害人目前在外国,而把网撤换到其他国家的网络漫游服务。
当银行发送简讯OTP时,这些OTP就被转移到海外的移动网络系统,并被黑客窃取。
因此Kevin Reed认为,最好的保护措施是“不能完全依赖简讯OTP进行安全验证。
华侨银行原计划在2022年3月31日之前逐步淘汰实体密码生成器,过渡到完全数码化的身份验证流程。
但华侨银行近日突然宣布,将继续允许客户使用实体密码生成器(token)进行安全验证。
四、在网络钓鱼诈骗中,银行需承担责任吗?
(海峡时报)
律师们说,在网络钓鱼诈骗案中,如果银行信息技术系统达标,而受害者是被误导而泄露自己的个人银行信息,导致金钱损失,就必须为自己的过失负责。
一位律师表示:“尤其是如果你授权了这笔交易,即使你是被骗的,银行一般不会对你因被欺诈而蒙受的损失负责。”
然而,如果银行被发现存在疏忽或违反了与客户的合同(比如没有定期修补系统),它们可能要承担责任。
事发后,一些受害者指责华侨银行反应速度慢,没能及时向客户发出警示,且没有设专门团队来应对骗案。
对此,华侨银行(17日)发文告说,银行自本月8日起已陆续向受害客户作出善意赔偿,至今有30多人获赔。
银行并没有透露赔偿总额,但强调它是在彻底核查和考量每起案件的具体情况后,出于善意补偿。
华侨银行也坦承,在顾客面对压力和焦虑的这段时期,银行的客服素质和反应确实没有达到顾客的要求。
除了设立专门团队协助钓鱼简讯骗案受害者,银行也已联系受影响客户,回应他们的担忧,并保证会提供支援。
金管局也发文告指出,金管局期望银行公平对待所有受影响客户。
该局还说,华侨银行将进行彻查,找出银行程序中的缺失并采取必要补救措施。金管局会在银行完成检讨后,考虑采取适当的监管措施。
转载请注明来源:狮城新闻
