簡介
設定“釣魚網站”,群發簡訊,提供連結中行E令,也就是中行網銀的認證保密工具——動態口令牌,它每次顯示6位數字,與所開網銀的賬戶相關聯,每次登錄網銀都必須輸入相應口令牌上的驗證數字(動態口令),才能登錄網銀賬戶進行操作。
最近有不法分子建立非法克隆網站,以簡訊形式欺騙網銀客戶進入假網站,謊稱進行中行E令升級,在客戶輸入相關信息後,以不法手段將客戶賬上的錢轉走,請在收到類似簡訊時,有所警惕,撥打客服95566諮詢,以免上當受騙。
詐欺
“尊敬的網銀用戶:您的中行E令即將過期,請您儘快登錄www.bbocn.com/k進行升級,詳詢95566。”
2011年1月10日至今,省內不少網銀用戶收到這樣一條提示簡訊。蘇州唐先生恰好是中國銀行(601988)的網銀用戶,他在家中電腦上登錄升級,可當輸入用戶名、密碼、動態口令後沒幾分鐘,發現卡內的198萬餘元被分兩筆轉走原來,唐先生中了新出現的“中行網銀E令升級”詐欺。
2011年1月23日下午,省公安廳披露了這一“第四代”網銀詐欺的最新情況,據不完全統計,自1月10日至今,省內發生100多起同類詐欺,市民損失少則數萬,多的高達百萬。據公安部反詐欺專家金大志介紹,這是目前境內發現的電信詐欺最新變種,已經出現全國性的發案。
中行E令升級100多萬飛了
設定“釣魚網站”,群發簡訊,提供連結1月13日下午5點45分左右,南京市民許先生正準備下班,突然收到一條手機簡訊:“尊敬的網銀用戶,你的中行E令將於次日過期,請儘快登錄WWW.BOCVK.COM.進行升級,給您帶來不便請諒解,詳詢95566(中國銀行)。”
巧的是,許先生正是中國銀行的網上銀行用戶,而且,很多銀行平時常發簡訊提示用戶辦理各項業務,所以,看到這條簡訊後,許先生雖然發現來自一個陌生手機,但他並沒產生懷疑,在撥打中國銀行95566客服電話、發現占線後,他顧不得多想,利用辦公室電腦,根據簡訊提示登錄所謂“中國銀行”的網址WWW.BOCVK.COM.。網頁打開後,徐先生看到,顯示的界面正是“中國銀行”,他根據網頁提示,輸入自己的用戶名、密碼以及隨機產生的中行E令(動態口令)、身份證號等信息後,頁面顯示升級成功。看到這兒,他放心地退出界面,可沒一會兒,當再次登錄自己的中行網銀賬戶時,許先生髮現賬戶上的101萬元已被轉走。
沒過幾天,同樣的事情發生在蘇州市民唐先生身上。他被騙的更多,有198萬餘元。而據反病毒公司網秦統計,“假銀行”欺詐簡訊泛濫,單月用戶舉報量已經突破6000個。
騙子分三步騙走網銀用戶的錢
江蘇警方接報後,立即對此類案件進行串並偵查,發現犯罪分子的作案手法如出一轍。省公安廳副廳長王琦介紹說,犯罪分子實施以“中行網銀E令升級”為名的電信詐欺時,首先會群發簡訊,主要針對中行的網銀用戶群發,謊稱當事人網銀E令需要升級,誘導登錄偽造的中國銀行網頁,套取銀行卡號、交易密碼及動態口令等,實施轉賬詐欺。
三個步驟完成詐欺
第一步,群發手機簡訊。謊稱受害人的中行E令即將過期,需要升級,並提供一個號稱官方網站、實為釣魚網站的連結。犯罪分子事先設定www.bocqg.com等虛假的中國銀行網站,俗稱“釣魚網站”,與正規的中國銀行官網非常相似,而且,頁面中大多數內容均能自動連線到中國銀行的官網,犯罪分子只在頁面上加入一個“登錄中行網銀E令升級”的欄目,誘使用戶點擊。
第二步,點擊“釣魚網站”。由於銀行常對持卡用戶傳送簡訊,提示辦理各項業務,因此,很多市民對簡訊提示升級的信息往往信以為真。一旦用戶根據簡訊提示,登錄到指定的網頁並進行相關操作,“釣魚網站”將通過早已設定的木馬程式,盜取用戶的用戶名、密碼以及動態口令。
第三步,盜取用戶存款。犯罪分子用木馬盜取了用戶的用戶名、密碼以及動態口令後,會在極短時間內,把這些信息輸入到正規的中國銀行官網,將用戶賬戶內的資金瞬間轉走。由於此類詐欺手法新,只要用戶網上“升級”操作,無需與犯罪分子進行任何形式的接觸,賬戶內的所有資金就會在兩分鐘內被全部轉走,因此,危害性較大。
原本的安保服務咋成了“釣魚誘餌”?
中行E令,是由中國銀行推出的一種硬體動態口令牌。它由內置電源、密碼生成晶片和顯示屏等組成,根據專門的計算法則,每隔60秒會自動更新一個動態口令,要求用戶在60秒內輸入,以保障網銀操作安全。此次網銀詐欺,絕大部分案例都以“中行E令”為幌子,這也引起了不少受騙用戶的強烈不滿。他們表示,“中行E令”本是銀行提供的一種安全服務,現在反而被犯罪分子利用,銀行方面對此也負有監管不力的責任。
此外,由於在木馬釣魚的作用下,犯罪分子能和用戶的電腦實現同步,號稱動態安保的“中行E令”此時已形同虛設,不少用戶也在質疑這項服務的必要性。據了解,目前,國有商業銀行中,只有中國銀行大範圍使用動態口令牌,工行、建行、農行、郵儲銀行等商業銀行以與計算機硬體連線的U盾或K寶為主。省內發生的這100多起詐欺案,主要針對“中行E令”用戶實施的。
對於這些質疑和不滿,省公安廳有關負責人表示,現在市民使用的網銀應該是安全的,因為迄今為止,還沒發現利用網銀的技術漏洞,攻破網銀防護網實施詐欺的情況。如果真的出現這種情況,網銀方面要承擔責任。
而中行有關人士則強調,中行對個人網銀賬戶的安全防範是獲得國家有關部門認可的,是安全可靠的。詐欺發生,主要是用戶登錄假網站,被騙取密碼和動態口令所致。如今,他們已在網銀轉賬業務上增設防線,1月21日起,大幅降低用戶單筆轉賬金額;自動向用戶傳送交易口令確認碼,一旦有人從某個賬戶上轉賬,系統會提示用戶,只有用戶確認後,才能轉,防止詐欺得逞。
防範
用網銀最好手工輸入網址
省公安廳副廳長王琦說,針對近期出現的以“中行E令升級”為名的電信詐欺,省公安廳迅速採取有針對性措施,加緊破案,現已調集了全省打擊電信詐欺犯罪的專家能手,會同各市公安刑偵力量,全力投入對犯罪資金流、信息流的追查,目前南京、無錫、蘇州等地在多起案件上取得突破,並已派出多個工作組分赴外省展開深入偵查。
王琦告訴,江蘇警方對假冒中國銀行官網的涉案網站,已採取封堵、禁止措施,嚴防連續詐欺作案。同時,協調中行在它的官方網站發布“關於防範欺詐簡訊誘騙客戶登錄假冒中行網銀的安全提示”。針對“中行E令升級”電信詐欺對象的特定性,也已協調相關部門,向全省中行網銀客戶傳送了防詐欺手機簡訊,揭示犯罪手段,謹防上當受騙。此外,還要求民警對容易上當的中年婦女加強提醒。
對市民,尤其是網銀用戶來說,要仔細甄別不明來歷的簡訊,銀行所有相關的業務信息只會通過官方簡訊平台,以及官方網站發布,請市民切勿相信任何陌生手機發來的簡訊;特別在錄入網銀卡號、密碼和動態口令時,更要仔細核對。如果市民因一時不慎而上當受騙,無論損失金額大小,都要儘快報案,全面提供詐欺手機號碼、簡訊內容、“釣魚網站”、銀行賬號等涉案信息,以便警方迅速破案,追回損失。警方歡迎通過網際網路信箱、110電話等途徑舉報線索,對舉報查實有功的,按規定給予獎勵。
省公安廳有關人士進一步提醒說,這類詐欺得逞,第一步是市民沒登錄正確的銀行官方網站,而是登錄一些不明網址的“釣魚網站”。目前,犯罪分子使用的“釣魚網站”多是在正規官方網站www.boc.cn的基礎上,添加字母或修改後綴變成的,如www.bocip.tk,www-bocsw.tk,www.bocbt.com,www.bocqg.com等。因此,市民辦理網銀業務時要擦亮眼睛,千萬不要輕易使用搜尋找到的某某銀行網站,最保險的辦法是,直接在地址欄中手工輸入銀行的官網地址。
