多家银行遭短信“钓鱼”攻击
无独有偶,近期,包括华夏银行 、众邦银行、广西金秀农商行、延寿融兴村镇银行、耒阳融兴村镇银行、会宁会师村镇银行、塔城农商行、昆仑银行、确山郑银村镇银行等在内的多家银行纷纷通过官方微信等方式向用户推送风险提示,对冒充银行短信的新型诈骗手法进行预警。
在风险警示中,不少银行不约而同均提到了“部分银行同业集中遭受短信钓鱼攻击”,(尤其以省联社、农村商业银行及城市商业银行突出)遭受钓鱼攻击猖獗。对此次银行密集“遭受短信钓鱼攻击”的原因,光大银行金融市场部分析师周茂华在接受北京商报记者采访时分析认为,国内金融线上业务发展迅速,但国内信息保护与技术安全仍需要提升,少数用户个人信息安全与防范钓鱼网站的警惕意识不够,同时国内监管制度与法律有待完善。
“鱼钩”五花八门
钓鱼网站基本来自于境外,且动态更换银行名称,从多家银行发布的风险预警中可以看到,钓鱼网站所使用的“鱼钩”也五花八门,一部分声称农信社存档将马上过期,另一部分则声称手机银行将马上失效,更有甚者将动态令牌过期、ETC设备被禁用也列入“鱼钩”范围。
在具体的操作流程上,这些钓鱼网站惯用的套路是:通过群发短信方式,以虚假贷款申请、手机银行失效或身份证过期为由诱骗用户点击假冒网页链接,并引导用户填写账号、手机号、登录密码、短信验证码、交易密码等信息,不法分子在用户操作完成后故意将系统页面处于等待状态,在此期间利用其他手机或电脑终端,冒用用户身份登录用户手机银行或网上银行进行转账操作,完成资金盗取。
一位数据行业观察人士向记者介绍称,多数的网钓方法就是用电子邮件中的链接,利用网址将用户带到“银行”网站的“示例”子网域,看似是合法的,实际上链接会导引到网钓攻击站点。
看懂研究员卜振兴指出,从历史情况来看,银行遭受的钓鱼攻击并没有明显的时间规律,可能主要还是和供给网站的设计决定的。年初不仅是各行各业的开门红,也成为了网络攻击的发力时间段。
而此次大规模钓鱼攻击,攻击者不仅仅可以获取受害人用户敏感信息,还可以冒用受害人身份登录其手机银行系统进行转账操作或者绑定第三方支付渠道进行资金盗取。
但银行通常并不会以“手机银行失效”“网银证书失效”“银行卡作废”“身份证过期”“登录密码失效”等为由给用户发送内嵌网址链接的短信、微信或邮件。北京商报记者注意到,不少银行在提示之余,还将下辖总行营业部、各分支行营业网点地址和联系电话一并发布在公告中,方便用户查找沟通。
行为侦查、惩处力度亟待强化
在网络钓鱼骗局中生存的最佳策略是首先远离“鱼钩”,在风险预警中,各家银行均根据自身情况对用户做出了提醒。
耒阳融兴村镇银行在公告中要求:“各网点要为用户提供此类问题的受理和解决渠道,一旦接报及时采取针对性保护措施,防止损失扩大;同时加强对受害用户的安抚,避免出现舆情和大规模用户投诉事件。”
版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌抄袭侵权/违法违规的内容, 请发送邮件至123456@qq.com 举报,一经查实,本站将立刻删除。
