某银行的动态“E令”被指存有漏洞。
最近几个月,一波假冒某银行网银系统升级,乘机骗取受害人动态密码,并窃取钱款的诈骗案在全国高发。
犯罪分子利用几十秒时间,眨眼间转走受害人存款,多的有数百万元之巨。这类案件,近期在江苏、浙江两地近乎猖獗。据浙江省公安厅经侦总队不完全统计,我省已发生此类案件40余起,涉案金额上千万元。
由于此类案件绝大多数都指向同一家银行的网银用户,这让很多受害者觉得不可思议。他们普遍认为,除了自己不谨慎外,与该银行网银E令存在漏洞不无关系。
去年10月,乐清人陈女士眨眼间,她向某银行申请的200万元贷款没了。
这笔钱陈女士是想用来买房子的,当时,她办理了一张借记卡后,又顺便开通了网上银行,并办理了该银行的网银E令。
之后,因为一时没有找到合适房源,这笔钱暂时存放在银行卡内。
几天后,陈女士收到一条短信:“尊敬的网银用户:您的E令卡于次日即将过期,请您尽快登录www.bocg.tk进行升级,给您带来不便敬请谅解,详询955XX。”
出于安全考虑,陈女士当即按照短信上写着的网站,登录了该行官网,并输入账号密码,随后又输入了动态密码(网银E令)。
输完账号、密码和网银E令后,网站提醒:密码不正确。
陈女士决定隔日再试,可第二天早上,陈女士发觉银行账户上仅剩几十元钱。经查证,其卡内刚贷款获得的近200万元被人分两次取走。
等陈女士回过神来查看短信时,她发现,短信中提供的银行网站并非该行的官网,只是域名极其相似而已。陈女士实际上进入的是一个“钓鱼网站”。一旦陈女士登录短信内留下的网站,所输入的网银用户名、密码、动态口令等就会被“钓鱼”程序窃取,其网银账户内的钱款会在极短时间内被迅速转走。
几十秒时间,近200万元被转走 据了解,此类案件并非偶发。据浙江省公安厅经侦总队不完全统计,从去年12月到今年2月间,我省发生此类案件40余起,涉案金额上千万元。
因此,省公安厅及多个市公安局都在各自的门户网站上发布了预警信息。
由于此类案件案情复杂,犯罪分子都隐藏在互联网后,给破案带来很大难度。但今年1月,我省警方还是成功破获了一起涉案上百万元的此类诈骗案。
去年12月9日,绍兴人章某因误信某行“E令升级”诈骗短信,48秒内被转走100万元。而当天,绍兴市内连续发生了6起雷同的案件。
接警后,绍兴越城公安分局成立了专案组,并积极和上级各部门联系沟通,今年1月13日,民警兵分三路在广西、广东、福建三省统一展开抓捕行动,成功抓获以福建人叶某为首的10名犯罪嫌疑人。
叶某交代,他们在仿冒网站上植入了盗号木马程序,并通过这种木马盗取用户账号、密码以及动态口令。
也就是说,当章某在绍兴输入账号密码时,远在深圳的叶某等人第一时间取得了这些信息,并马上将信息输入已经打开等候着的某行官方网站。
此时,在绍兴的章某正在叶某等人设置的“钓鱼网站”上进行“E令升级”,章某自然地输入了动态口令,这个口令再次被叶某等人利用。
随后,叶某等人在一分钟内成功转账,并将100万元平均转入预先准备好的50个账号里。
层出不穷的诈骗案件也引起了该行的重视。如今,该行已经在网银转账业务上增设了防线,1月21日起,大幅降低用户单笔转账金额;自动向用户发送手机交易确认码,只有用户确认后,才能转账。同时,该行的客服热线也增加了关于谨防网银诈骗的提醒。
种种防线在一定程度上遏止了此类案件的蔓延。
绍兴破获首起案件,银行进行多项措施防控 为什么这些骗子都把眼睛盯在该银行的E令卡上,在业内人士眼中,这也并非偶然。
记者请教了一名曾在两家银行负责网银方面工作的业内人士,他说:“虽然从客观上说,用户在钓鱼网站内中招不能完全说是"E令"之过,但其动态密保系统确实存在一定缺陷。”
目前,用户端网银安全工具主要包括数字证书、动态密保和手机验证三种方式,该行E令系统采用的就是动态密保。
所谓动态密保就是只能使用一次的密码,这种动态密码的原理在于:它通过特定的计算方式,在用户的E令牌中产生一个随机变化的密码,用户需要使用这个密码登录网银,然后进行下一步操作。
该行推出的“E令”,实际上就是“电子动态口令生成器”,只要是该行的网银用户,都会有这样一个动态口令牌。但是这个动态口令是有时间限制的,它每隔60秒就会自动更新一次。
然而,此次网银诈骗,不法分子打的就是这个“动态口令”的主意。因为这个动态口令在60秒内使用都是有效的,所以不法分子就设置了“钓鱼网站”,当该行的网银用户进入“钓鱼网站”输入动态口令时,动态口令就会被截取,只要不法分子在60秒内使用这个动态口令,就能轻而易举操作该行网银用户的账户,从而达到转账的目的。
所以,在此前发生的案件中,犯罪分子也确实是在短短几十秒内完成的转账。“一分钟时间,足够操作熟练的人完成整个犯罪过程,动态口令这种安全工具本身就存在漏洞。”这位业内人士说。
而其他一些银行目前正广泛使用的是数字证书(俗称U盾),U盾在登录网上银行时会有密码、验证时有密码、汇款时有密码,相当于有三道关口,因此保障程度相对较高。
加上U盾都是即插即用,一旦从电脑上拔出,就相当于中断信号连接,只要数字证书在用户手中,黑客就很难拦截这个密码。
为何受害者大多是同一家银行的网银用户 业内人士:动态口令防护能力相对较弱 网络金融诈骗 为何屡屡得手 在很短时间内,这种冒充银行网站实施诈骗、盗窃的犯罪在全国迅速蔓延,很多从未开通网上银行的市民也曾接到类似手机短信。不少网民发帖质问:“这种针对网络金融的犯罪手段为何能屡屡得手?”
警方在对同类案件分析后发现,犯罪嫌疑人的作案手法均采取诈骗与盗窃相结合的形式,其对银行业务流程及互联网应用技术有较深的了解,具体有以下几个特点:
一是短信群发“善意”提醒,诱使网民上网操作。在此类案中,犯罪团伙有针对性地选择江浙等经济发达地区的用户作为作案对象。由于这些对象文化层次相对较高,防范心理较强,普通的诈骗手法已无法得手,进而选择“密码丢失索取”、“网络升级提示”等“善意”提醒诱惑网民。
二是境外注册网站域名,逃避互联网监管。在所有已发案件中,犯罪嫌疑人开设假网站使用的域名均不在国内注册,都是在境外网站注册的免费域名。由于目前对境外域名注册行为无法实施有效管理,使得域名注册人的信息难以获取。
三是高仿真网站制作,欺骗网民透露账户密码。
四是连贯的转账操作,迅速转移网银款项。
目前,警方对假冒该银行官网的涉案网站,已采取封堵、屏蔽措施,严防连续诈骗作案,并协调有关部门发布提醒。
目前,犯罪分子使用的“钓鱼网站”多是在该行官网的基础上,添加字母或修改后缀变成的,如www.bocip.tk;www.bocsw.tk;www.bocbt.com;www.bocqg.com等。
●防范贴士
警方提醒市民,办理网银业务时要擦亮眼睛,千万不要轻易使用搜索找到的某某银行网站,最保险的办法是,直接在地址栏中手工输入银行的官网地址。
同时要仔细甄别不明来历的短信,银行所有相关的业务信息只会通过官方短信平台以及官方网站发布,请市民切勿相信任何陌生手机发来的短信,特别在录入网银卡号、密码和动态口令时,更要仔细核对。如果市民因一时不慎而上当受骗,无论损失多少金额,都要尽快报案,全面提供诈骗手机号码、短信内容、“钓鱼网站”、银行账号等涉案信息,以便警方迅速破案,追回损失。 (来源:浙江在线)
(责任编辑:郑江)