日期:2016-7-13(原创文章,禁止转载)
客户200万被转走 中行银E令成钓饵
最近几个月,1波假冒某银行银系统升级,伺机欺骗受害人动态密码,并盗取钱款的欺骗案在全国多发。
犯罪分子利用几十秒时间,眨眼间转走受害人存款,多的有数百万元之巨。这类案件平凉癫痫病医院排名,近期在江苏、浙江两地近乎猖獗。据浙江省公安厅经侦总队不完全统计,我省已产生此类案件40余起,涉案金额上千万元。
由于此类案件绝大多数都指向同一家银行的银用户,这让很多受害者觉得不可思议。他们普遍认为,除自己不谨慎外,与该银行银E令存在漏洞不无关系。
去年10月,乐清人陈女士眨眼间,她向某银行申请的200万元贷款没了。
这笔钱陈女士是想用来买房子的,当时,她办理了一张借记卡后,又顺便开通了上银行,并办理了该银行的银E令。
以后,由于一时没有找到适合房源,这笔钱暂时寄存在银行卡内。
几天后,陈女士收到一条短信:“尊重的银用户:您的E令卡于第二天行将过期,请您尽快登录进行升级,给您带来不便敬请原谅,详询955XX。”
出于安全斟酌,陈女士立即依照短信上写着的站,登录了该行官,并输入账号密码,随后又输入了动态密码(银E令)。
输完账号、密码和银E令后,站提示:密码不正确。
陈女士决定隔日再试,可第二天早上癫痫病的危害是什么,陈女士发觉银行账户上仅剩几十元钱。经查证,其卡内刚贷款取得的近200万元被人分两次取走。
等陈女士回过神来查看短信时,她发现,短信中提供的银行站并不是该行的官,只是域名极为类似而已。陈女士实际上进入的是一个“钓鱼站”。一旦陈女士登录短信内留下的站,所输入的银用户名、密码、动态口令等就会被“钓鱼”程序盗取,其银账户内的钱款会在极短时间内被迅速转走。
几十秒时间,近200万元被转走
据了解,此类案件并不是偶发。据浙江省公安厅经侦总队不完全统计,从去年12月到今年2月间,我省产生此类案件40余起,涉案金额上千万元。
因此,省公安厅及多个市公安局都在各自的门户站上发布了预警信息。
由于此类案件案情复杂,犯罪分子都隐藏在互联后,给破案带来很大难度。但今年1月,我省警方还是成功破获了一起涉案上百万元的此类欺骗案。
去年12月9日,绍兴人章某因误信某行“E令升级”欺骗短信,48秒内被转走100万元。而当天,绍兴市内连续产生了6起雷同的案件。
接警后,绍兴越城公安分局成立了专案组,并积极和上级各部门联系沟通,今年1月13日,民警兵分三路在广西、广东、福建3省统一展开抓捕行动,成功抓获以福建人叶某为首的10名犯罪嫌疑人。
叶某交代,他们在仿冒站上植入了盗号木马程序,并通过这类木马盗取用户账号、密码和动态口令。
也就是说,当章某在绍兴输入账号密码时,远在深圳的叶某等人第一时间取得了这些信息,并马上将信息输入已打开等候着的某行官方站。
此时,在绍兴的章某正在叶某等人设置的“钓鱼站”上进行“E令升级”,章某自然地输入了动态口令,这个口令再次被叶某等人利用。
随后,叶某等人在1分钟内成功转账,并将100万元平均转入预先准备好的50个账号里。
层见叠出的欺骗案件也引发了该行的重视。如今,该行已在银转账业务上增设了防线,1月21日起,大幅下降用户单笔转账金额;自动向用户发送手机交易确认码,只有用户确认后,才能转账。同时,该行的客服热线也增加了关于严防银欺骗的提示。
种种防线在一定程度上抑止了此类案件的蔓延。
绍兴破获首起案件,银行进行多项措施防控
为何这些骗子都把眼睛盯在该银行的E令卡上,在业内人士眼中,这也并不是偶然。
请教了一名曾在两家银行负责银方面工作的业内人士,他说:“虽然从客观上说,用户在钓鱼站内中招不能完全说是‘E令’之过,但其动态密保系统确切存在一定缺点。”
目前,用户端银安全工具主要包括数字证书、动态密保和手机验证3种方式,该行E令系统采取的就是动态密保。
所谓动态密保就是只能使用一次的密码,这类动态密码的原理在于:它通过特定的计算方式,在用户的E令牌中产生一个随机变化的密码,用户需要使用这个密码登录银,然后进行下一步操作。
该行推出的“E令”,实际上就是“电子动态口令生成器”,只要是该行的银用户,都会有这样一个动态口令牌。但是这个动态口令是有时间限制的,它每隔60秒就会自动更新一次。
但是,此次银欺骗,不法分子打的就是这个“动态口令”的主张。由于这个动态口令在60秒内使用都是有效的,所以不法分子就设置了“钓鱼站”,当该行的银用户进入“钓鱼站”输入动态口令时,动态口令就会被截取,只要不法分子在60秒内使用这个动态口令,就能轻而易举操作该行银用户的账户,从而到达转账的目的。
所以,在此前产生的案件中,犯罪分子也确切是在短短几十秒内完成的转账。“1分钟时间,足够操作熟练的人完成全部犯法进程,动态口令这类安全工具本身就存在漏洞。”这位业内人士说。
而其他一些银行目前正广泛使用的是数字证书(俗称U盾),U盾在登录上银行时会有密码、验证时有密码、汇款时有密码,相当于有三道关口,因此保障程度相对较高。
加上U盾都是即插即用,一旦从电脑上拔出,就相当于中断信号连接,只要数字证书在用户手中,黑客就很难拦截这个密码。
为什么受害者大多是同一家银行的银用户
业内人士:动态口令防护能力相对较弱
络金融欺骗为什么屡屡得手
在很短时间内,这类冒充银行站实行欺骗、偷盗的犯法在全国迅速蔓延,很多从未开通上银行的市民也曾接到类似手机短信。很多民发帖质问:“这类针对络金融的犯法手段为什么能屡屡得手?”
警方在对同类案件分析后发现,犯罪嫌疑人的作案手法均采取欺骗与偷盗相结合的情势,其对银行业务流程及互联应用技术有较深的了解,具体有以下几个特点:
1是短信群发“善意”提示,诱使民上操作。在此类案中,犯法团伙有针对性地选择江浙等经济理较强,普通的欺骗手法已没法得手,进而选择“密码丢失索取”、“络升级提示”等“善意”提示诱惑民。
2是境外注册站域名,回避互联监管。在所有已发案件中,犯罪嫌疑人开设假站使用的域名均不在国内注册,都是在境外站注册的免费域名。由于目前对境外域名注册行动没法实行有效管理,使得域名注册人的信息难以获得。
三是高仿真站制作,欺骗民泄漏账户密码。
4是联贯的转账操作青少年癫痫治疗,迅速转移银款项。
目前,警方对假冒该银行官的涉案站,已采取封堵、屏蔽措施,严防连续欺骗作案,并调和有关部门发布提示。
目前,犯罪分子使用的“钓鱼站”多是在该行官的基础上,添加字母或修改后缀变成的,如;;;等。
●防范贴士
警方提示市民,办理银业务时要擦亮眼睛,千万不要轻易使用搜索找到的某某银行站,最保险的办法是,直接在地址栏中手工输入银行的官地址。
同时要仔细甄别不明来历的短信,银行所有相干的业务信息只会通过官方短信平台和官方站发布,请市民切勿相信任何陌生手机发来的短信,特别在录入银卡号、密码和动态口令时,更要仔细核对。如果市民因一时不慎而上当受骗,不管损失多少金额,都要尽快报案,全面提供欺骗手机号码、短信内容、“钓鱼站”、银行账号等涉案信息,以便警方迅速破案,追回损失。
