具体来看,这些钓鱼网站惯用的套路是:通过群发短信方式,以虚假贷款申请、手机银行失效或身份证过期为由诱骗用户点击假冒网页链接,并引导用户填写账号、手机号、登录密码、短信验证码、交易密码等信息,不法分子在用户操作完成后故意将系统页面处于等待状态,在此期间利用其他手机或电脑终端,冒用用户身份登录用户手机银行或网上银行进行转账操作,完成资金盗取。
而此次大规模钓鱼攻击,攻击者不仅仅可以获取受害人的敏感信息,还可以冒用受害人身份登录其手机银行系统进行转账操作或者绑定第三方支付渠道进行资金盗取。
但银行通常并不会以“手机银行失效”“网银证书失效”“银行卡作废”“身份证过期”“登录密码失效”等为由给用户发送内嵌网址链接的短信、微信或邮件。北京商报记者注意到,不少银行在提示之余,还将下辖总行营业部、各分支行营业网点地址和联系电话一并发布在公告中,方便用户查找沟通。
一位数据行业观察人士向记者介绍称,多数的网钓方法就是用电子邮件中的链接,利用网址将用户带到“银行”网站的“示例”子网域,看似是合法的,实际上链接会导引到网钓攻击站点。
郑州银行之前,包括华夏银行、众邦银行、广西金秀农商行、延寿融兴村镇银行、耒阳融兴村镇银行、会宁会师村镇银行、塔城农商行、昆仑银行、确山郑银村镇银行等在内的多家银行纷纷通过官方微信等方式向用户推送风险提示,对冒充银行短信的新型诈骗手法进行预警。
光大银行金融市场部分析师周茂华在接受北京商报记者采访时分析认为,国内金融线上业务发展迅速,但国内信息保护与技术安全仍需要提升,少数用户个人信息安全与防范钓鱼网站的警惕意识不够,同时国内监管制度与法律有待完善。
看懂研究院研究员卜振兴指出,从历史情况来看,银行遭受的钓鱼攻击并没有明显的时间规律,可能主要还是由供给网站的设计决定的。年初不仅是各行各业的开门红,也是网络攻击的发力时间段。
在网络钓鱼骗局中生存的最佳策略是首先远离“鱼钩”,在风险预警中,各家银行均根据自身情况对用户做出了提醒。“不要轻信陌生邮件、短信、电话等方式通知的有关网银过期、系统升级、安全认证工具升级和修改密码等内容。”华夏银行提醒称。众邦银行则强调用户要及时更新移动终端杀毒软件,关注移动终端信息安全,不要访问来历不明的网站,并请留意地址栏域名的变化。
周茂华则进一步指出,对于不明来历的广告、链接、图片等需要保持警惕,尽量避免超链接登录网上银行、购物网站、第三方支付平台等与业务、资金密切相关的服务网站。国内需要加快完善相关法律制度,提升相关违法行为的侦查、监管能力,加大惩处力度。