【網絡詐騙】小心偽冒銀行短訊! 2大最常用電子銀行網絡釣魚方法

博客 18:45 2021/07/06

分享:

2021年上半年假冒銀行的短訊不絕,從金管局的網站就可以數到,截至2021年6月11日,偽冒銀行網站的報告已有95宗,當中涉及23家銀行,其中「被冒認之王」是中銀香港,高達32宗!其次就是滙豐(8宗)、東亞(7宗)、渣打(6宗)、星展(5宗)等。

以下就是最近期的一宗騙案了。

【偽冒滙豐PayMe短訊騙財 提防可疑連結網站:按此

電子銀行網絡釣魚最常用第1種方法:偽冒SMS

這類利用銀行e-banking的網絡釣魚行為,一般採用2種套路。

第一種就是透過SMS或電郵,訛稱銀行帳戶出現異常,必須馬上登入SMS上的銀行網址作出確認,而SMS上的網址當然是假的喇,當大家很聽話地在偽冒網站雙手奉上自己的帳戶名稱和密碼後,騙徒便可以進行下一步行動了。

不過一般騙徒並不會就這樣罷手的,因為只利用方法一竊取大家電子銀行的帳戶名稱及密碼,其實作用並不大,因為單用密碼登入而沒有其他驗證方法如SMS一次性密碼(OTP)或流動保安編碼(Mobile security key,MSK)下,即行內人俗稱的「一重認證」(1FA)情況下,銀行一般只會容許進行小額轉帳(Small-value payment),最新HKMA在2018年6月修訂的上限為每日10,000元。

勞師動眾才每天騙得了10,000元,騙徒當然不會那麼容易罷手了。

    點擊圖片放大

電子銀行網絡釣魚最常用第2種方法:假扮朋友

看畢方法一,大家會明白騙徒只竊取大家電子銀行的用戶名稱和密碼是不夠的,要想辦法從「一重認證」(1FA)變成「雙重認證」(2FA),這樣就能突破每天10,000元轉帳的上限了。

最直接的方法,就是偷取大額轉帳時銀行發給大家的SMS 一次性驗證碼(OTP),那騙徒會在大家手機上偷安木馬程式來閱讀大家的SMS嗎?

其實騙徒極少極少會這樣做,因為1)如果本身技藝那麼高超,一開始就不用發釣魚短訊給大家啦;2)現在很多銀行Apps都會在每次登入時,先掃描整台手機有沒有可疑軟件,所以如果要安裝木馬程式實在是一個打草驚蛇的舉動了。

既然Cyber Hacking實在廢時失事,又會打草驚蛇,那Social Hack就是又廉價又高效的方法。甚麼是Social Hacking?簡單來說就是扮Friend和扮Staff了。

朋友,我剛用你的電話號碼在華田銀行替你登記了抽獎,大獎是Dyson V8吸塵機一部,你可以把你剛收到的手機驗證碼發給我嗎?

大家可能會說,那麼明顯都有人相信?首先是騙徒只騙笨的人,如果你不是其中一個,我恭喜你咯;其次網絡行騙這東西,最後都是大數法則,20個有1個信,我的回報隨時是好幾百萬的哦!

所以說大家收到任何人要求你交出OTP,都千萬不要答應哦!

大家擔心成為下一個受害者?聽日有另一篇文章教你9個反制措施。

 

【文章來源:華田銀行;已獲授權轉載。原題:銀行閑談 (129) — 偽冒銀行釣魚短訊不絕,市民有什麼最有效的反制措施呢?】

【關於作者】
兒時夢想做i-banker,結果做了bank worker,還要是retail那種。過去在各大小銀行不同部門流徙,叫人借錢、催人還錢、審批貸款、出股票app、出借錢app、出信用卡、廣告策劃、銷售管理、分行佈點、生物認證、電子排隊、機器學習、敏捷開發,到現在還未安定下來。不懂財經、不懂經濟,只想談一下「銀行」這回事。

撰文 : Wallace Tin

欄名 : 華田銀行

緊貼財經時事新聞分析,讚好hket Facebook 專版