钓鱼短信诈骗越变越厉害 中圈套的华侨银行客户称难辨真假

更新:
2022年01月18日 20:09
知彼知己,百战不殆

知彼知己,百战不殆

这年头什么行业都在进步,骗子也在“精益求精”ing。

以往的钓鱼短信多以“难以置信的好康”为饵引公众上钩点击链接。现在却通过“看起来就更正规”的SMS短信,谎称用户的银行账号或信用卡有问题,利用恐慌心理误导他们在钓鱼网站输入真实的网银用户名和密码,然后转走账户内的存款。

近期被盯上惨遭毒手的华侨银行形容说,最新一轮钓鱼骗局特别具攻击性且协调度高。

去年12月1日至29日间,共有469名华侨银行客户坠入钓鱼短信骗局,受骗总款额高达850万新元。

一名从事电子商务的男子受访时告诉《海峡时报星期刊》,他去年12月21日中午收到一条手机简讯,称名下的华侨银行户头添加了一个不知名的收款人。如果是未经授权的话,就必须点击简讯中的链接进入账户。

不愿透露姓名的男子说:“简讯很逼真,跟银行以往发出的信息出现在同一个聊天记录。”

点击链接后,就出现了一个与银行网站几乎一模一样的网页,这名男子于是按要求输入了银行资料。两人当天下午6时收到银行发来信息,通知转账以及账户的一些变更,才惊觉户头内的12万新元储蓄全被转走了。

那么,华侨银行钓鱼短信骗案是如何运作?我们要如何避免“中套”呢?

一、为何骗子可以让假信息出现在OCBC的真信息号里面?

近期利用钓鱼短信(SMS)攻击华侨银行用户的不法分子,主要是利用改号欺诈(number spoofing)方式,在公众的银行短信页面中插入诈骗短信。由于短信中的发件人显示为“华侨银行”,实在让公众难辨真假。

知彼知己,百战不殆
来自华侨银行的假信息。(华侨银行)

听起来不可思议?其实不然。

追根到底,是骗子们利用了SMS短信的设计漏洞。

每条短信发出时都会带有“Sender ID”,Sender ID是在收件人手机上显示为发件人的名称,像我们这样的普通用户是看不见的。

例如,在华侨银行钓鱼短信骗案中,骗子很轻易地就把“Sender ID”编改为OCBC。最糟糕的是,我们的手机会通过“Sender ID”的名称对短信进行分组。于是,真假信息全都出现在写着OCBC名称的短信页面上,从而误导我们。

最可怕的是,骗子们如今可以轻易地将“Sender ID”编改为任何名称,细思极恐。

网民Captain Sinkie就以身示教,在互联网上找到了一个可以编改“Sender ID”的网站。

他分别将消息伪装为“星展银行”、“Gov.sg”、“国防部72255”发sms简讯给自己,结果证实这些信息都能成功鱼目滚珠。

知彼知己,百战不殆
Captain Sinkie冒充国防部给自己发回营受训的短信。(Captain Sinkie)

随着不法分子在技术上的升级,蚁粉今后在收到任何机构发出的索求个人资料的短信时,应该直接拨打该机构的正规热线查询(千万不要致电简讯中提供的号码),更不要随意给出个人资料。

二、骗子设计的钓鱼网站与银行官网看上去一模一样,如何辨认?

一名来自印度、在本地工作近11年的软件工程师(38岁)在骗局里,痛失OCBC账户内的25万新元。

本身就是IT专家的他说,完全没料到自己会受骗,因为点击短信中的链接后,出现的页面与银行官网“完全相似”(exactly similar)。

其实,银行从不发简讯通知有关账户冻结或关闭事宜,而是会寄信通知。

银行也从不会发出带有能“激活账户”链接的简讯。激活账户只能在银行和网银上办理。

切记,不要点击任何能导入银行网站的链接。若真要查看此事,应该自行输入银行官网地址或在官方手机应用上操作。

三、转款通常需要一次性密码(OTP),为何有些人没收到OTP钱就被转走了?

A、骗子激活电子密码生成器,无需通过OTP的短信方式来验证转账

华侨银行解释说,受害人在钓鱼网站输入访问代码、个人密码和OTP时,被不法分子盗取了这些银行信息。

然后骗子以这些信息,在自己的设备上,激活了用作验证转账的电子密码生成器。

这么一来,骗子就无需通过OTP的短信方式来验证转账。因此受害人没有收到OTP的短信,存款早就被悄悄地转走了。

知彼知己,百战不殆
(联合早报)

B、短信OTP有可能被恶意软件“拦截”,导致受害人无法收到

网络安全公司Acronis的首席信息安全官Kevin Reed推测,短信OTP有可能被恶意软件“拦截”了,所以受害人无法收到。

客户使用手机浏览网站时,在不知情的情况下,下载了不明软件,导致手机被恶意软件入侵。
 
恶意软件主要以“软件更新”之名,通过弹出式(pop up)广告要求用户点击下载更新软件,否则将无法继续启动服务。

一旦手机被恶意软件入侵,黑客便能“操控”手机,获取用户的银行资料,并“拦截”(intercept)发送至手机的OTP来进行网上交易。

不过Kevin Reed说,这种情况更可能发生在安卓手机上,因为安卓手机的应用程序会要求短信访问。不过如果手机操作系统存在漏洞(未及时更新),iPhone用户也可能会受到攻击。

Kevin Reed说,黑客还可以用偷来的银行户口登录信息,侵入受害者的银行账户,更改手机号码,让OTP发送到黑客手机,而不是账户持有人。

但一些银行已经有对应措施避免上述情况发生。

例如,要求客户亲自到银行更改手机号、设置冷静期不能马上使用新的手机号进行交易、或发送通知到新的和旧的手机号码,好让账户持有人能及时发现账户资料被恶意更改。

不过,在某些情况下,诈骗者可能会关闭通知功能,让受害者收不到有关的诈骗警报。

另外,黑客还可以通过破坏用于数据管理的移动基础设施SS7手机网络来延迟或删除短信。

黑客还可以通过改号欺诈的方式,以受害人的手机号码,收到一份OTP的短信副本。

知彼知己,百战不殆
女大学生不疑有诈点击短信上的链接转到假银行网站输入资料,几个小时后在同个平台接到真的银行短信通知,指有人更换她账户绑定的电话号码,才发现户头里的2万元已被转走。(联合早报)

C、短信OTP有可能被骗子“转移”到国外电讯公司

Kevin Reed说,黑客也有可能侵入海外电信公司的系统,利用它们更改新加坡受害者使用的手机号码的所在位置。

这使新加坡电信网络误以为受害人目前在外国,而把网撤换到其他国家的网络漫游服务。

当银行发送短信OTP时,这些OTP就被转移到海外的移动网络系统,并被黑客窃取。

因此Kevin Reed认为,最好的保护措施是“不能完全依赖短信OTP进行安全验证。

华侨银行原计划在2022年3月31日之前逐步淘汰实体密码生成器,过渡到完全数码化的身份验证流程。

但华侨银行近日突然宣布,将继续允许客户使用实体密码生成器(token)进行安全验证。

四、在网络钓鱼诈骗中,银行需承担责任吗?

知彼知己,百战不殆
(海峡时报)

律师们说,在网络钓鱼诈骗案中,如果银行信息技术系统达标,而受害者是被误导而泄露自己的个人银行信息,导致金钱损失,就必须为自己的过失负责。

一位律师表示:“尤其是如果你授权了这笔交易,即使你是被骗的,银行一般不会对你因被欺诈而蒙受的损失负责。”

然而,如果银行被发现存在疏忽或违反了与客户的合同(比如没有定期修补系统),它们可能要承担责任。

事发后,一些受害者指责华侨银行反应速度慢,没能及时向客户发出警示,且没有设专门团队来应对骗案。

对此,华侨银行昨天(17日)发文告说,银行自本月8日起已陆续向受害客户作出善意赔偿,至今有30多人获赔。

银行并没有透露赔偿总额,但强调它是在彻底核查和考量每起案件的具体情况后,出于善意补偿。

华侨银行也坦承,在顾客面对压力和焦虑的这段时期,银行的客服素质和反应确实没有达到顾客的要求。

除了设立专门团队协助钓鱼短信骗案受害者,银行也已联系受影响客户,回应他们的担忧,并保证会提供支援。

金管局也发文告指出,金管局期望银行公平对待所有受影响客户。

该局还说,华侨银行将进行彻查,找出银行程序中的缺失并采取必要补救措施。金管局会在银行完成检讨后,考虑采取适当的监管措施。

想分享你的文章?

请电邮:antseditorial@redants.sg