事實
據媒體報導,今年1月,珠海的關女士收到一條簡訊,內容是某國有銀行網上銀行客戶的E令密碼需要升級,要求用戶上網操作,關女士對此深信不疑,馬上打開家中的電腦,通過網際網路進入簡訊中所稱的E令升級網站操作,她按網頁上的要求將網銀賬號、密碼和E令密碼等相關資料輸入進行了“升級”,結果卻發現賬戶內的200萬元不翼而飛。廣州的“linda”女士今年1月也遭遇了同樣的騙局。今年1月4日,她同樣收到一條要求網銀E令升級的簡訊,輸入的網址為“www.bocg.us/g”。“由於該行並沒有做過類似的提醒,結果按網上的指令操作後,卡中的66800元就被一掃而光。”她氣憤地表示。
此外,某股份制銀行不少網銀用戶也反映,他們近期也收到該銀行關於網銀升級的信息,稱“某某陽光令牌用戶,因系統升級改進為確保賬戶安全請登錄該網站升級”,簡訊結尾還留有該銀行的客服電話。據該銀行網銀用戶稱,此假網站與該銀行官方網站域名僅有1個字母之差,不細心的話很難辨別,而且登入此假網址後,頁面與該銀行官方網站頁面也基本一樣,誤以為真後就會輸入個人信息從而被騙。
危險
據了解,釣魚網站的犯罪手法較為簡單,通過製作仿真度極高的銀行官方網站,然後購買空間和域名,再群發網銀升級的虛假信息,並註明需要登入的網站地址,一旦用戶登錄假冒網站進行“升級”,犯罪分子就可通過後台網站獲取用戶輸入的賬號、密碼、動態口令等信息,並迅速登錄真正網銀,將賬號內資金轉走。因此,不少網銀用戶質疑網銀動態口令技術存在漏洞。金山網路安全專家指出,動態口令是根據專門的算法每隔60秒生成一個與時間相關的、不可預測的隨機數字組合,該認證技術曾被認為是目前能夠最有效解決用戶的身份認證方式之一,可以有效防範木馬盜竊用戶的財產或資料。但對於釣魚網站的出現,即使輸入動態口令,也無法辨別網站的真偽。有專家指出,雖然動態口令在60秒鐘後就會失效,但是木馬程式通過“山寨銀行”獲取用戶賬號信息和動態口令,並成功登錄網銀的時間往往僅需數秒。
詐欺方式
除銀行網銀被製作假網站用來詐欺外,隨著網購的興起,第三方支付平台也成為犯罪分子瞄準的對象。作為第三方支付平台的匯付天下合規部負責人介紹說,網路釣魚詐欺大致可分為以下4種詐欺方式:1.假冒第三方支付連結;2.傳送病毒控制用戶電腦從而盜取銀行卡等信息;3.以銀行付款確認郵件等方式誘騙上當;4.以中獎做局誘騙網友匯款等。
目前最常見的釣魚方式有兩種:第一種是虛假連結的傳統型釣魚方式。即網友在網購過程中,當進行到第三方支付平台要付款時,連結到了詐欺分子做的虛假頁面,該頁面在頁面形式、扣款金額等方面做得與原網購網站非常相似,而通過這個虛假頁面進行支付的金額則自動進入了詐欺分子的賬戶。
第二種是當前比較突出的木馬型釣魚方式。這是一種更隱蔽更可怕的方式,當電腦中了這種木馬病毒,在網購交易中的支付平台到銀行扣款的環節當中,木馬程式會自動在後台生成另一筆交易,新的交易指向了一個新的賬戶,銀行的扣款自動到了詐欺分子的賬戶,而網友卻毫無察覺。