APP 手机版 繁體
123下一页
返回列表 发新帖

[其他卡] ZT 短短几十秒200万元被转走 网银E令成了钓鱼诱饵

  [复制链接]

爱心勋章 热心会员勋章 帅哥勋章

780

主题

3万

积分

149

好友

黑钻会员 鲜花(188)

simonhoo 发表在  2011-2-24 16:37:45  | 显示全部楼层 | 阅读模式
短短几十秒200万元被转走 网银E令成了钓鱼诱饵                                http://www.sina.com.cn  2011年02月24日 15:24  浙江在线-今日早报
                                                                                                                                       
                                                                                                                                                                                       
                                                                                  近期“网银”诈骗已发案40余起,涉案金额上千万元
  □本报记者 朱寅/文 包敦远/摄
  几十秒时间,近200万元被转走
  最近几个月,一波假冒某银行网银系统升级,乘机骗取受害人动态密码,并窃取钱款的诈骗案在全国高发。
  犯罪分子利用几十秒时间,眨眼间转走受害人存款,多的有数百万元之巨。这类案件,近期在江苏、浙江两地近乎猖獗。据浙江省公安厅经侦总队不完全统计,我省已发生此类案件40余起,涉案金额上千万元。
  由于此类案件绝大多数都指向同一家银行的网银用户,这让很多受害者觉得不可思议。他们普遍认为,除了自己不谨慎外,与该银行网银E令存在漏洞不无关系。
  去年10月,乐清人陈女士眨眼间,她向某银行申请的200万元贷款没了。
  这笔钱陈女士是想用来买房子的,当时,她办理了一张借记卡后,又顺便开通了网上银行,并办理了该银行的网银E令。
  之后,因为一时没有找到合适房源,这笔钱暂时存放在银行卡内。
  几天后,陈女士收到一条短信:“尊敬的网银用户:您的E令卡于次日即将过期,请您尽快登录www.bocg.tk进行升级,给您带来不便敬请谅解,详询955XX。”
  出于安全考虑,陈女士当即按照短信上写着的网站,登录了该行官网,并输入账号密码,随后又输入了动态密码(网银E令)。
  输完账号、密码和网银E令后,网站提醒:密码不正确。
  陈女士决定隔日再试,可第二天早上,陈女士发觉银行账户上仅剩几十元钱。经查证,其卡内刚贷款获得的近200万元被人分两次取走。
  等陈女士回过神来查看短信时,她发现,短信中提供的银行网站并非该行的官网,只是域名极其相似而已。陈女士实际上进入的是一个“钓鱼网站”。一旦陈女士登录短信内留下的网站,所输入的网银用户名、密码、动态口令等就会被“钓鱼”程序窃取,其网银账户内的钱款会在极短时间内被迅速转走。
  绍兴破获首起案件,银行进行多项措施防控
  据了解,此类案件并非偶发。据浙江省公安厅经侦总队不完全统计,从去年12月到今年2月间,我省发生此类案件40余起,涉案金额上千万元。
  因此,省公安厅及多个市公安局都在各自的门户网站上发布了预警信息。
  由于此类案件案情复杂,犯罪分子都隐藏在互联网后,给破案带来很大难度。但今年1月,我省警方还是成功破获了一起涉案上百万元的此类诈骗案。
  去年12月9日,绍兴人章某因误信某行“E令升级”诈骗短信,48秒内被转走100万元。而当天,绍兴市内连续发生了6起雷同的案件。
  接警后,绍兴越城公安分局成立了专案组,并积极和上级各部门联系沟通,今年1月13日,民警兵分三路在广西、广东、福建三省统一展开抓捕行动,成功抓获以福建人叶某为首的10名犯罪嫌疑人。
  叶某交代,他们在仿冒网站上植入了盗号木马程序,并通过这种木马盗取用户账号、密码以及动态口令。
  也就是说,当章某在绍兴输入账号密码时,远在深圳的叶某等人第一时间取得了这些信息,并马上将信息输入已经打开等候着的某行官方网站。
  此时,在绍兴的章某正在叶某等人设置的“钓鱼网站”上进行“E令升级”,章某自然地输入了动态口令,这个口令再次被叶某等人利用。
  随后,叶某等人在一分钟内成功转账,并将100万元平均转入预先准备好的50个账号里。
  层出不穷的诈骗案件也引起了该行的重视。如今,该行已经在网银转账业务上增设了防线,1月21日起,大幅降低用户单笔转账金额;自动向用户发送手机交易确认码,只有用户确认后,才能转账。同时,该行的客服热线也增加了关于谨防网银诈骗的提醒。
  种种防线在一定程度上遏止了此类案件的蔓延。
  为何受害者大多是同一家银行的网银用户
  业内人士:动态口令防护能力相对较弱
  为什么这些骗子都把眼睛盯在该银行的E令卡上,在业内人士眼中,这也并非偶然。
  记者请教了一名曾在两家银行负责网银方面工作的业内人士,他说:“虽然从客观上说,用户在钓鱼网站内中招不能完全说是‘E令’之过,但其动态密保系统确实存在一定缺陷。”
  目前,用户端网银安全工具主要包括数字证书、动态密保和手机验证三种方式,该行E令系统采用的就是动态密保。
  所谓动态密保就是只能使用一次的密码,这种动态密码的原理在于:它通过特定的计算方式,在用户的E令牌中产生一个随机变化的密码,用户需要使用这个密码登录网银,然后进行下一步操作。
  该行推出的“E令”,实际上就是“电子动态口令生成器”,只要是该行的网银用户,都会有这样一个动态口令牌。但是这个动态口令是有时间限制的,它每隔60秒就会自动更新一次。
  然而,此次网银诈骗,不法分子打的就是这个“动态口令”的主意。因为这个动态口令在60秒内使用都是有效的,所以不法分子就设置了“钓鱼网站”,当该行的网银用户进入“钓鱼网站”输入动态口令时,动态口令就会被截取,只要不法分子在60秒内使用这个动态口令,就能轻而易举操作该行网银用户的账户,从而达到转账的目的。
  所以,在此前发生的案件中,犯罪分子也确实是在短短几十秒内完成的转账。“一分钟时间,足够操作熟练的人完成整个犯罪过程,动态口令这种安全工具本身就存在漏洞。”这位业内人士说。
  而其他一些银行目前正广泛使用的是数字证书(俗称U盾),U盾在登录网上银行时会有密码、验证时有密码、汇款时有密码,相当于有三道关口,因此保障程度相对较高。
  加上U盾都是即插即用,一旦从电脑上拔出,就相当于中断信号连接,只要数字证书在用户手中,黑客就很难拦截这个密码。
  网络金融诈骗为何屡屡得手
  在很短时间内,这种冒充银行网站实施诈骗、盗窃的犯罪在全国迅速蔓延,很多从未开通网上银行的市民也曾接到类似手机短信。不少网民发帖质问:“这种针对网络金融的犯罪手段为何能屡屡得手?”
  警方在对同类案件分析后发现,犯罪嫌疑人的作案手法均采取诈骗与盗窃相结合的形式,其对银行业务流程及互联网应用技术有较深的了解,具体有以下几个特点:
  一是短信群发“善意”提醒,诱使网民上网操作。在此类案中,犯罪团伙有针对性地选择江浙等经济发达地区的用户作为作案对象。由于这些对象文化层次相对较高,防范心理较强,普通的诈骗手法已无法得手,进而选择“密码丢失索取”、“网络升级提示”等“善意”提醒诱惑网民。
  二是境外注册网站域名,逃避互联网监管。在所有已发案件中,犯罪嫌疑人开设假网站使用的域名均不在国内注册,都是在境外网站注册的免费域名。由于目前对境外域名注册行为无法实施有效管理,使得域名注册人的信息难以获取。
  三是高仿真网站制作,欺骗网民透露账户密码。
  四是连贯的转账操作,迅速转移网银款项。
  目前,警方对假冒该银行官网的涉案网站,已采取封堵、屏蔽措施,严防连续诈骗作案,并协调有关部门发布提醒。
  目前,犯罪分子使用的“钓鱼网站”多是在该行官网的基础上,添加字母或修改后缀变成的,如www.bocip.tkwww.bocsw.tkwww.bocbt.comwww.bocqg.com等。
  ●防范贴士
  警方提醒市民,办理网银业务时要擦亮眼睛,千万不要轻易使用搜索找到的某某银行网站,最保险的办法是,直接在地址栏中手工输入银行的官网地址。
  同时要仔细甄别不明来历的短信,银行所有相关的业务信息只会通过官方短信平台以及官方网站发布,请市民切勿相信任何陌生手机发来的短信,特别在录入网银卡号、密码和动态口令时,更要仔细核对。如果市民因一时不慎而上当受骗,无论损失多少金额,都要尽快报案,全面提供诈骗手机号码、短信内容、“钓鱼网站”、银行账号等涉案信息,以便警方迅速破案,追回损失
SPG Platinum

黑钻会员 鲜花(188)

simonhoo 发表于 2011-2-24 16:38:30  | 显示全部楼层
转贴不评论、、、

点评

不评论但是占沙发 超版你要检讨啊 ~~(╯﹏╰)b  发表于 2011-2-24 16:41
SPG Platinum

蓝钻会员 鲜花(345)

xy-xy 发表于 2011-2-24 16:49:08  | 显示全部楼层
银行开户实名制监管不严,难辞其咎

黑钻会员 鲜花(188)

simonhoo 发表于 2011-2-24 16:53:03  | 显示全部楼层
本帖最后由 simonhoo 于 2011-2-24 16:54 编辑

point是在贬某行,抬某行,难道是某行雇佣的枪手写的?

“动态口令”和“U盾“,有意思。。。
SPG Platinum

蓝钻会员 鲜花(36)

richsh10 发表于 2011-2-24 16:57:40  | 显示全部楼层
所以我从不开借记卡的网上银行

钻石会员 鲜花(11)

shlonglong 发表于 2011-2-24 17:07:38  | 显示全部楼层
小心驶得万年船。
偶用网上银行10多年,从最原始的文件证书到这个盾那个key,也没见着啥黑客。
可能户头上钞票太少,人家看不上。
不记昨日好,只要今天笑

黑钻会员 鲜花(3)

dayi 发表于 2011-2-24 17:16:23  | 显示全部楼层
我收到过这个短信  是www.boctv.com 嘿嘿

蓝钻会员 鲜花(25)

凑热闹

tacdou 发表于 2011-2-24 17:26:44  | 显示全部楼层
这个动态口令原本就相当多余,只论安全性,手机短信足矣。 动态口令牌上面显示的口令被骗走后人家就立刻转帐了。手机短信口令是钓鱼网站冒充不了的
CA.V LH*G UA*G MU/G AF/G AA/P HU/G SPG/P PCR/RA GC/D HH/G Accor/P
声明:本人回复均为网上复制,用于检验本人电脑键盘录入、屏幕显示的机械、光电性能。并不代表本人局部或全部同意、支持或者反对楼主观点

蓝钻会员 鲜花(25)

凑热闹

tacdou 发表于 2011-2-24 17:27:29  | 显示全部楼层
目前此类银行的补救措施 就是手机短信口令
CA.V LH*G UA*G MU/G AF/G AA/P HU/G SPG/P PCR/RA GC/D HH/G Accor/P
声明:本人回复均为网上复制,用于检验本人电脑键盘录入、屏幕显示的机械、光电性能。并不代表本人局部或全部同意、支持或者反对楼主观点

蓝钻会员 鲜花(12)

harryliang2010 发表于 2011-2-24 19:02:52  | 显示全部楼层
回复 tacdou 的帖子

经常收到复制sim卡的垃圾短信,如果属实,那么手机短信密码也不可靠吧。

蓝钻会员 鲜花(117)

eagle007 发表于 2011-2-24 19:08:45  | 显示全部楼层
国内银行的网站都太不安全,比美国差远了,这个盾那个盾的一点鸟用没有,人家根本不用什么U盾照样安全

举个例子,Bank of America的网上登陆,输入user id后,就会蹦出一张用户自己预设的图片和一个单词,每个人设定的都是不一样的,如果没看到这张图片就是假的,多简单!钓鱼网站学都学不了!

蓝钻会员 鲜花(28)

度日如年 发表于 2011-2-24 19:19:59  | 显示全部楼层
现在很多银行都有手机短信口令了啊.再说有那么多钱去哪个行不是插队客户啊,干脆不开通网上银行就是了
那些年一起住的酒店

钻石会员 鲜花(126)

hanson4270 发表于 2011-2-24 21:05:17  | 显示全部楼层
tacdou 发表于 2011-2-24 17:27
目前此类银行的补救措施 就是手机短信口令

既然动态口令能被骗走,那手机口令一样能被骗走,只要分2步走.所以中行此举纯属无用~

钻石会员 鲜花(126)

hanson4270 发表于 2011-2-24 21:08:07  | 显示全部楼层
eagle007 发表于 2011-2-24 19:08
国内银行的网站都太不安全,比美国差远了,这个盾那个盾的一点鸟用没有,人家根本不用什么U盾照样安全

举 ...

国内很多银行都有这个网银预设信息防伪功能啊.可是前提是要登入网银才行.如果如新闻里所说的假冒升级网站,那根本没用啊.

目前国内最安全的应该就是ICBC的2代U盾了.证书+密码+物理确认(必须按2下U盾上的按钮才能继续交易),黑客绝对拿它没办法.

钻石会员 鲜花(0)

bluefox_hz 发表于 2011-2-24 21:14:30  | 显示全部楼层
网银预设信息防伪功能是正解.....本人的防范意识也很关键

蓝钻会员 鲜花(117)

eagle007 发表于 2011-2-24 21:15:41  | 显示全部楼层
本帖最后由 eagle007 于 2011-2-24 21:17 编辑

回复 hanson4270 的帖子

Bank of America 是输入用户名时显示预设的图片和单词,这时候还没输入密码,不存在被钓鱼网站把密码偷走的可能。

而且为了防止钓鱼网站根据用户名掌握预设信息,Bank of America输入用户名以后先要检查你所用电脑的MAC address,如果不匹配以前的MAC address,马上就会要回答几个安全问题才能继续。

国内没银行做到这样的吧?


钻石会员 鲜花(18)

rye 发表于 2011-2-24 21:28:12  | 显示全部楼层
回复 eagle007 的帖子

MAC地址绑定工行也早可以了,只不过只开放给口令卡客户,而且这类客户有自主选择权,不是必须的

钻石会员 鲜花(18)

rye 发表于 2011-2-24 21:29:54  | 显示全部楼层
回复 hanson4270 的帖子

重点是这个2代盾上的显示屏,能回显对方账户、金额等关键要素,这才是防范的关键

蓝钻会员 鲜花(25)

凑热闹

tacdou 发表于 2011-2-24 22:20:10  | 显示全部楼层
本帖最后由 tacdou 于 2011-2-24 22:22 编辑
hanson4270 发表于 2011-2-24 21:05
既然动态口令能被骗走,那手机口令一样能被骗走,只要分2步走.所以中行此举纯属无用~


大哥,手机口令骗不走的。假的网站不能发出手机口令来。老外从来不用盾啥的,手机口令足以
CA.V LH*G UA*G MU/G AF/G AA/P HU/G SPG/P PCR/RA GC/D HH/G Accor/P
声明:本人回复均为网上复制,用于检验本人电脑键盘录入、屏幕显示的机械、光电性能。并不代表本人局部或全部同意、支持或者反对楼主观点

钻石会员 鲜花(126)

hanson4270 发表于 2011-2-24 22:53:54  | 显示全部楼层
本帖最后由 hanson4270 于 2011-2-24 23:02 编辑
tacdou 发表于 2011-2-24 22:20
大哥,手机口令骗不走的。假的网站不能发出手机口令来。老外从来不用盾啥的,手机口令足以

假网站当然不能发手机验证码,可问题是骗子登入的是真网站啊,只要在里面点下发送,然后在钓鱼网站引诱客户填写,不就完了嘛。。。
所以中行当务之急还是快点推出U盾吧,中国人民的智慧是无穷的,老外那些套路放中国水土不服,哈哈~

发表回复

您需要登录后才可以回帖 登录 | 注册

本版积分规则

关于我们
关于飞客
发展成长
媒体报道
企业愿景
联系我们
商务合作
加盟飞客
投资人关系
帮助中心
服务协议
帮助中心
在线客服
投诉建议
关注我们
官方APP
官方微信
官方微博
快速回复 返回顶部 返回列表