网银E令成诈骗诱饵 储户轻信200万元被转走(图)

　　最近几个月，一波假冒某银行网银系统升级，乘机骗取受害人动态密码，并窃取钱款的诈骗案在全国高发。

　　犯罪分子利用几十秒时间，眨眼间转走受害人存款，多的有数百万元之巨。这类案件，近期在江苏、浙江两地近乎猖獗。据浙江省公安厅经侦总队不完全统计，我省已发生此类案件40余起，涉案金额上千万元。

　　由于此类案件绝大多数都指向同一家银行的网银用户，这让很多受害者觉得不可思议。他们普遍认为，除了自己不谨慎外，与该银行网银E令存在漏洞不无关系。

　　去年10月，乐清人陈女士眨眼间，她向某银行申请的200万元贷款没了。

　　这笔钱陈女士是想用来买房子的，当时，她办理了一张借记卡后，又顺便开通了网上银行，并办理了该银行的网银E令。

　　之后，因为一时没有找到合适房源，这笔钱暂时存放在银行卡内。

　　几天后，陈女士收到一条短信：“尊敬的网银用户：您的E令卡于次日即将过期，请您尽快登录www.bocg.tk进行升级，给您带来不便敬请谅解，详询955XX。”

　　出于安全考虑，陈女士当即按照短信上写着的网站，登录了该行官网，并输入账号密码，随后又输入了动态密码(网银E令)。

　　输完账号、密码和网银E令后，网站提醒：密码不正确。

　　陈女士决定隔日再试，可第二天早上，陈女士发觉银行账户上仅剩几十元钱。经查证，其卡内刚贷款获得的近200万元被人分两次取走。

　　等陈女士回过神来查看短信时，她发现，短信中提供的银行网站并非该行的官网，只是域名极其相似而已。陈女士实际上进入的是一个“钓鱼网站”。一旦陈女士登录短信内留下的网站，所输入的网银用户名、密码、动态口令等就会被“钓鱼”程序窃取，其网银账户内的钱款会在极短时间内被迅速转走。

　　几十秒时间，近200万元被转走

　　据了解，此类案件并非偶发。据浙江省公安厅经侦总队不完全统计，从去年12月到今年2月间，我省发生此类案件40余起，涉案金额上千万元。

　　因此，省公安厅及多个市公安局都在各自的门户网站上发布了预警信息。

　　由于此类案件案情复杂，犯罪分子都隐藏在互联网后，给破案带来很大难度。但今年1月，我省警方还是成功破获了一起涉案上百万元的此类诈骗案。

　　去年12月9日，绍兴人章某因误信某行“E令升级”诈骗短信，48秒内被转走100万元。而当天，绍兴市内连续发生了6起雷同的案件。

　　接警后，绍兴越城公安分局成立了专案组，并积极和上级各部门联系沟通，今年1月13日，民警兵分三路在广西、广东、福建三省统一展开抓捕行动，成功抓获以福建人叶某为首的10名犯罪嫌疑人。

　　叶某交代，他们在仿冒网站上植入了盗号木马程序，并通过这种木马盗取用户账号、密码以及动态口令。

　　也就是说，当章某在绍兴输入账号密码时，远在深圳的叶某等人第一时间取得了这些信息，并马上将信息输入已经打开等候着的某行官方网站。

　　此时，在绍兴的章某正在叶某等人设置的“钓鱼网站”上进行“E令升级”，章某自然地输入了动态口令，这个口令再次被叶某等人利用。

　　随后，叶某等人在一分钟内成功转账，并将100万元平均转入预先准备好的50个账号里。

　　层出不穷的诈骗案件也引起了该行的重视。如今，该行已经在网银转账业务上增设了防线，1月21日起，大幅降低用户单笔转账金额；自动向用户发送手机交易确认码，只有用户确认后，才能转账。同时，该行的客服热线也增加了关于谨防网银诈骗的提醒。

　　种种防线在一定程度上遏止了此类案件的蔓延。

　　绍兴破获首起案件，银行进行多项措施防控

　　为什么这些骗子都把眼睛盯在该银行的E令卡上，在业内人士眼中，这也并非偶然。

　　记者请教了一名曾在两家银行负责网银方面工作的业内人士，他说：“虽然从客观上说，用户在钓鱼网站内中招不能完全说是"E令"之过，但其动态密保系统确实存在一定缺陷。”

　　目前，用户端网银安全工具主要包括数字证书、动态密保和手机验证三种方式，该行E令系统采用的就是动态密保。

　　所谓动态密保就是只能使用一次的密码，这种动态密码的原理在于：它通过特定的计算方式，在用户的E令牌中产生一个随机变化的密码，用户需要使用这个密码登录网银，然后进行下一步操作。

　　该行推出的“E令”，实际上就是“电子动态口令生成器”，只要是该行的网银用户，都会有这样一个动态口令牌。但是这个动态口令是有时间限制的，它每隔60秒就会自动更新一次。

　　然而，此次网银诈骗，不法分子打的就是这个“动态口令”的主意。因为这个动态口令在60秒内使用都是有效的，所以不法分子就设置了“钓鱼网站”，当该行的网银用户进入“钓鱼网站”输入动态口令时，动态口令就会被截取，只要不法分子在60秒内使用这个动态口令，就能轻而易举操作该行网银用户的账户，从而达到转账的目的。

　　所以，在此前发生的案件中，犯罪分子也确实是在短短几十秒内完成的转账。“一分钟时间，足够操作熟练的人完成整个犯罪过程，动态口令这种安全工具本身就存在漏洞。”这位业内人士说。

　　而其他一些银行目前正广泛使用的是数字证书(俗称U盾)，U盾在登录网上银行时会有密码、验证时有密码、汇款时有密码，相当于有三道关口，因此保障程度相对较高。

　　加上U盾都是即插即用，一旦从电脑上拔出，就相当于中断信号连接，只要数字证书在用户手中，黑客就很难拦截这个密码。

　　为何受害者大多是同一家银行的网银用户

　　业内人士：动态口令防护能力相对较弱

　　网络金融诈骗

　　为何屡屡得手

　　在很短时间内，这种冒充银行网站实施诈骗、盗窃的犯罪在全国迅速蔓延，很多从未开通网上银行的市民也曾接到类似手机短信。不少网民发帖质问：“这种针对网络金融的犯罪手段为何能屡屡得手？”

　　警方在对同类案件分析后发现，犯罪嫌疑人的作案手法均采取诈骗与盗窃相结合的形式，其对银行业务流程及互联网应用技术有较深的了解，具体有以下几个特点：

　　一是短信群发“善意”提醒，诱使网民上网操作。在此类案中，犯罪团伙有针对性地选择江浙等经济发达地区的用户作为作案对象。由于这些对象文化层次相对较高，防范心理较强，普通的诈骗手法已无法得手，进而选择“密码丢失索取”、“网络升级提示”等“善意”提醒诱惑网民。

　　二是境外注册网站域名，逃避互联网监管。在所有已发案件中，犯罪嫌疑人开设假网站使用的域名均不在国内注册，都是在境外网站注册的免费域名。由于目前对境外域名注册行为无法实施有效管理，使得域名注册人的信息难以获取。

　　三是高仿真网站制作，欺骗网民透露账户密码。

　　四是连贯的转账操作，迅速转移网银款项。

　　目前，警方对假冒该银行官网的涉案网站，已采取封堵、屏蔽措施，严防连续诈骗作案，并协调有关部门发布提醒。

　　目前，犯罪分子使用的“钓鱼网站”多是在该行官网的基础上，添加字母或修改后缀变成的，如www.bocip.tk；www.bocsw.tk；www.bocbt.com；www.bocqg.com等。

　　●防范贴士

　　警方提醒市民，办理网银业务时要擦亮眼睛，千万不要轻易使用搜索找到的某某银行网站，最保险的办法是，直接在地址栏中手工输入银行的官网地址。

　　同时要仔细甄别不明来历的短信，银行所有相关的业务信息只会通过官方短信平台以及官方网站发布，请市民切勿相信任何陌生手机发来的短信，特别在录入网银卡号、密码和动态口令时，更要仔细核对。如果市民因一时不慎而上当受骗，无论损失多少金额，都要尽快报案，全面提供诈骗手机号码、短信内容、“钓鱼网站”、银行账号等涉案信息，以便警方迅速破案，追回损失。 (来源：浙江在线)