網(wǎng)銀用戶頻遭釣魚 用戶質(zhì)疑動態(tài)口令存漏洞

發(fā)布時間：2011-03-23 11:40:47 來源：信息時報(bào)

釣魚網(wǎng)站往往利用網(wǎng)銀客戶防范心理不強(qiáng)及網(wǎng)銀技術(shù)存在漏洞而屢屢得手。


　　



□本版撰文 信息時報(bào)記者 喬倩倩


　　近日，多家銀行網(wǎng)銀出現(xiàn)釣魚網(wǎng)站的消息頻頻見諸報(bào)端。網(wǎng)銀用戶由于登陸釣魚網(wǎng)站，被騙取銀行賬號、密碼、動態(tài)口令后，資金被犯罪分子從銀行賬戶中轉(zhuǎn)移，有的網(wǎng)銀用戶甚至在瞬間損失上百萬元，乃至傾家蕩產(chǎn)。網(wǎng)銀用戶資金頻頻被盜的同時，人們開始將焦點(diǎn)關(guān)注到網(wǎng)銀“動態(tài)口令”技術(shù)存在的漏洞方面。

　　謊稱網(wǎng)銀需要升級誘騙登陸釣魚網(wǎng)站

　　據(jù)媒體報(bào)道，今年1月，珠海的關(guān)女士收到一條短信，內(nèi)容是某國有銀行網(wǎng)上銀行客戶的E令密碼需要升級，要求用戶上網(wǎng)操作，關(guān)女士對此深信不疑，馬上打開家中的電腦，通過互聯(lián)網(wǎng)進(jìn)入短信中所稱的E令升級網(wǎng)站操作，她按網(wǎng)頁上的要求將網(wǎng)銀賬號、密碼和E令密碼等相關(guān)資料輸入進(jìn)行了“升級”，結(jié)果卻發(fā)現(xiàn)賬戶內(nèi)的200萬元不翼而飛。

　　廣州的“linda”女士今年1月也遭遇了同樣的騙局。今年1月4日，她同樣收到一條要求網(wǎng)銀E令升級的短信，輸入的網(wǎng)址為“www.bocg.us/g”。“由于該行并沒有做過類似的提醒，結(jié)果按網(wǎng)上的指令操作后，我卡中的66800元就被一掃而光。”她氣憤地表示。

　　此外，某股份制銀行不少網(wǎng)銀用戶也反映，他們近期也收到該銀行關(guān)于網(wǎng)銀升級的信息，稱“某某陽光令牌用戶，因系統(tǒng)升級改進(jìn)為確保賬戶安全請登錄該網(wǎng)站升級”，短信結(jié)尾還留有該銀行的客服電話。據(jù)該銀行網(wǎng)銀用戶稱，此假網(wǎng)站與該銀行官方網(wǎng)站域名僅有1個字母之差，不細(xì)心的話很難辨別，而且登陸此假網(wǎng)址后，頁面與該銀行官方網(wǎng)站頁面也基本一樣，誤以為真后就會輸入個人信息從而被騙。

　　網(wǎng)銀用戶質(zhì)疑動態(tài)口令技術(shù)存在漏洞

　　據(jù)了解，釣魚網(wǎng)站的犯罪手法較為簡單，通過制作仿真度極高的銀行官方網(wǎng)站，然后購買空間和域名，再群發(fā)網(wǎng)銀升級的虛假信息，并注明需要登陸的網(wǎng)站地址，一旦用戶登錄假冒網(wǎng)站進(jìn)行“升級”，犯罪分子就可通過后臺網(wǎng)站獲取用戶輸入的賬號、密碼、動態(tài)口令等信息，并迅速登錄真正網(wǎng)銀，將賬號內(nèi)資金轉(zhuǎn)走。因此，不少網(wǎng)銀用戶質(zhì)疑網(wǎng)銀動態(tài)口令技術(shù)存在漏洞。

　　金山網(wǎng)絡(luò)安全專家指出，動態(tài)口令是根據(jù)專門的算法每隔60秒生成一個與時間相關(guān)的、不可預(yù)測的隨機(jī)數(shù)字組合，該認(rèn)證技術(shù)曾被認(rèn)為是目前能夠最有效解決用戶的身份認(rèn)證方式之一，可以有效防范木馬盜竊用戶的財(cái)產(chǎn)或資料。但對于釣魚網(wǎng)站的出現(xiàn)，即使輸入動態(tài)口令，也無法辨別網(wǎng)站的真?zhèn)?。有專家指出，雖然動態(tài)口令在60秒鐘后就會失效，但是木馬程序通過“山寨銀行”獲取用戶賬號信息和動態(tài)口令，并成功登錄網(wǎng)銀的時間往往僅需數(shù)秒。

　　相關(guān)鏈接

　　網(wǎng)絡(luò)釣魚4種詐騙方式

　　除銀行網(wǎng)銀被制作假網(wǎng)站用來詐騙外，隨著網(wǎng)購的興起，第三方支付平臺也成為犯罪分子瞄準(zhǔn)的對象。作為第三方支付平臺的匯付天下合規(guī)部負(fù)責(zé)人介紹說，網(wǎng)絡(luò)釣魚詐騙大致可分為以下4種詐騙方式：1.假冒第三方支付鏈接；2.發(fā)送病毒控制用戶電腦從而盜取銀行卡等信息；3.以銀行付款確認(rèn)郵件等方式誘騙上當(dāng)；4.以中獎做局誘騙網(wǎng)友匯款等。

　　據(jù)上述負(fù)責(zé)人介紹，目前最常見的釣魚方式有兩種：第一種是虛假鏈接的傳統(tǒng)型釣魚方式。即網(wǎng)友在網(wǎng)購過程中，當(dāng)進(jìn)行到第三方支付平臺要付款時，鏈接到了詐騙分子做的虛假頁面，該頁面在頁面形式、扣款金額等方面做得與原網(wǎng)購網(wǎng)站非常相似，而通過這個虛假頁面進(jìn)行支付的金額則自動進(jìn)入了詐騙分子的賬戶。

　　第二種是當(dāng)前比較突出的木馬型釣魚方式。這是一種更隱蔽更可怕的方式，當(dāng)電腦中了這種木馬病毒，在網(wǎng)購交易中的支付平臺到銀行扣款的環(huán)節(jié)當(dāng)中，木馬程序會自動在后臺生成另一筆交易，新的交易指向了一個新的賬戶，銀行的扣款自動到了詐騙分子的賬戶，而網(wǎng)友卻毫無察覺。

本站僅提供存儲服務(wù)，所有內(nèi)容均由用戶發(fā)布，如發(fā)現(xiàn)有害或侵權(quán)內(nèi)容，請點(diǎn)擊舉報(bào)。