近日,多家银行网银出现钓鱼网站的消息频频见诸报端。网银用户由于登陆钓鱼网站,被骗取银行账号、密码、动态口令后,资金被犯罪分子从银行账户中转移,有的网银用户甚至在瞬间损失上百万元,乃至倾家荡产。网银用户资金频频被盗的同时,人们开始将焦点关注到网银“动态口令”技术存在的漏洞方面。
谎称网银需要升级诱骗登陆钓鱼网站
据媒体报道,今年1月,珠海的关女士收到一条短信,内容是某国有银行网上银行客户的E令密码需要升级,要求用户上网操作,关女士对此深信不疑,马上打开家中的电脑,通过互联网进入短信中所称的E令升级网站操作,她按网页上的要求将网银账号、密码和E令密码等相关资料输入进行了“升级”,结果却发现账户内的 200万元不翼而飞。
广州的“linda”女士今年1月也遭遇了同样的骗局。今年1月4日,她同样收到一条要求网银E令升级的短信,输入的网址为“www.bocg.us/g”。“由于该行并没有做过类似的提醒,结果按网上的指令操作后,我卡中的66800元就被一扫而光。”她气愤地表示。
此外,某股份制银行不少网银用户也反映,他们近期也收到该银行关于网银升级的信息,称“某某阳光令牌用户,因系统升级改进为确保账户安全请登录该网站升级”,短信结尾还留有该银行的客服电话。据该银行网银用户称,此假网站与该银行官方网站域名仅有1个字母之差,不细心的话很难辨别,而且登陆此假网址后,页面与该银行官方网站页面也基本一样,误以为真后就会输入个人信息从而被骗。
网银用户质疑动态口令技术存在漏洞
据了解,钓鱼网站的犯罪手法较为简单,通过制作仿真度极高的银行官方网站,然后购买空间和域名,再群发网银升级的虚假信息,并注明需要登陆的网站地址,一旦用户登录假冒网站进行“升级”,犯罪分子就可通过后台网站获取用户输入的账号、密码、动态口令等信息,并迅速登录真正网银,将账号内资金转走。因此,不少网银用户质疑网银动态口令技术存在漏洞。
金山网络安全专家指出,动态口令是根据专门的算法每隔60秒生成一个与时间相关的、不可预测的随机数字组合,该认证技术曾被认为是目前能够最有效解决用户的身份认证方式之一,可以有效防范木马盗窃用户的财产或资料。但对于钓鱼网站的出现,即使输入动态口令,也无法辨别网站的真伪。有专家指出,虽然动态口令在60秒钟后就会失效,但是木马程序通过 “山寨银行”获取用户账号信息和动态口令,并成功登录网银的时间往往仅需数秒。
网络钓鱼4种诈骗方式
除银行网银被制作假网站用来诈骗外,随着网购的兴起,第三方支付平台也成为犯罪分子瞄准的对象。作为第三方支付平台的汇付天下合规部负责人介绍说,网络钓鱼诈骗大致可分为以下4种诈骗方式:1.假冒第三方支付链接;2.发送病毒控制用户电脑从而盗取银行卡等信息;3.以银行付款确认邮件等方式诱骗上当;4.以中奖做局诱骗网友汇款等。
据上述负责人介绍,目前最常见的钓鱼方式有两种:第一种是虚假链接的传统型钓鱼方式。即网友在网购过程中,当进行到第三方支付平台要付款时,链接到了诈骗分子做的虚假页面,该页面在页面形式、扣款金额等方面做得与原网购网站非常相似,而通过这个虚假页面进行支付的金额则自动进入了诈骗分子的账户。
第二种是当前比较突出的木马型钓鱼方式。这是一种更隐蔽更可怕的方式,当电脑中了这种木马病毒,在网购交易中的支付平台到银行扣款的环节当中,木马程序会自动在后台生成另一笔交易,新的交易指向了一个新的账户,银行的扣款自动到了诈骗分子的账户,而网友却毫无察觉。