“尊敬的用户,您的手机银行于×月×日下午×点×分停用,请前往××网址解除停用……”手机里收到这样一条短信,你会直接点开网址,还是先向银行方面验证真实性?3月9日北京商报记者注意到,就是这样一条平常无奇的短信,已经让不少银行用户掉入了网络诈骗的陷阱。
钓鱼网站基本来自于境外,且动态更换银行名称,从多家银行发布的风险预警中可以看到,钓鱼网站所使用的“鱼钩”也五花八门,一部分声称农信社存档将马上过期,另一部分则声称手机银行将马上失效,更有甚者将动态令牌过期、ETC设备被禁用也列入“鱼钩”范围。
而此次大规模钓鱼攻击,攻击者不仅仅可以获取受害人的敏感信息,还可以冒用受害人身份登录其手机银行系统进行转账操作或者绑定第三方支付渠道进行资金盗取。
但银行通常并不会以“手机银行失效”“网银证书失效”“银行卡作废”“身份证过期”“登录密码失效”等为由给用户发送内嵌网址链接的短信、微信或邮件。北京商报记者注意到,不少银行在提示之余,还将下辖总行营业部、各分支行营业网点地址和联系电话一并发布在公告中,方便用户查找沟通。
一位数据行业观察人士向记者介绍称,多数的网钓方法就是用电子邮件中的链接,利用网址将用户带到“银行”网站的“示例”子网域,看似是合法的,实际上链接会导引到网钓攻击站点。
郑州银行之前,包括华夏银行、众邦银行、广西金秀农商行、延寿融兴村镇银行、耒阳融兴村镇银行、会宁会师村镇银行、塔城农商行、昆仑银行、确山郑银村镇银行等在内的多家银行纷纷通过官方微信等方式向用户推送风险提示,对冒充银行短信的新型诈骗手法进行预警。
光大银行金融市场部分析师周茂华在接受北京商报记者采访时分析认为,国内金融线上业务发展迅速,但国内信息保护与技术安全仍需要提升,少数用户个人信息安全与防范钓鱼网站的警惕意识不够,同时国内监管制度与法律有待完善。
看懂研究院研究员卜振兴指出,从历史情况来看,银行遭受的钓鱼攻击并没有明显的时间规律,可能主要还是由供给网站的设计决定的。年初不仅是各行各业的开门红,也是网络攻击的发力时间段。
周茂华则进一步指出,对于不明来历的广告、链接、图片等需要保持警惕,尽量避免超链接登录网上银行、购物网站、第三方支付平台等与业务、资金密切相关的服务网站。国内需要加快完善相关法律制度,提升相关违法行为的侦查、监管能力,加大惩处力度。
而对春节以来假冒银行短信钓鱼诈骗事件,监管也迅速做出反应,山东银保监局在3月5日发布公告称,近期,监测发现辖区出现针对城商行、农商行等中小银行机构客户的短信钓鱼诈骗风险事件,山东银保监局高度重视,立即采取措施果断处置。第一时间联系国家互联网应急中心、网络运营商对钓鱼网站的域名和IP地址进行封禁,向公安机关报案,并报告公安刑侦部门。同时,指导省联社、城商行联盟采取技术手段加强安全策略,紧急调整手机银行、网上银行渠道交易规则,提高业务验证级别和系统防诈能力。
北京商报记者孟凡霞宋亦桐