Saturday, April 9, 2011

看準人性弱點 銀行用戶防遭網釣

看準人性弱點
銀行用戶防遭網釣

報導:李玉萍

隨著科技越來越發達,欺詐手法也愈來愈日新月異,除了電話和手機短訊,加上網絡經濟迅速增長,線上的欺詐案也不斷發生。

據大馬電子保安機構(Cyber Security Malaysia)報告,去年我國的網絡欺詐案多達1426宗,比2009年的624宗倍增,大馬更是網絡欺詐目標的十大國家之一。

我國最常見的網絡欺詐案,莫過于冒充網絡銀行的網站,騙取用戶的帳號和密碼,再偷龍轉鳳把錢匯走,但用戶每每發現時卻已為時甚晚。

究竟不法之徒如何利用人性的弱點,從而讓這些網絡銀行欺詐案層出不窮?但身為網絡銀行用戶的你,絕對有辦法杜絕欺詐案的發生。

銀行從來不會透過電話、手機短訊或電郵向顧客索取任何個人私密資料。
國家銀行發佈的“2010年財務穩定與支付系統報告”透露,網絡銀行服務越來越受落,國民去年通過電腦完成的銀行交易總值高達1兆令吉,更從比09年的6999億令吉激增35%。

網絡銀行交易如此可觀的數據,卻也惹來不法之徒覬覦,大肆透過“網釣”(Phishing)方式騙取用戶的私密資料。

上述報告透露,“網釣”是網絡銀行的主要威脅,佔網絡銀行欺詐案的98%。

從電郵開始

“網釣”先以電郵展開網路欺詐的第一步,發出數百萬封看似銀行發出的電郵。

因為騙徒的經驗愈來愈豐富,製作的欺詐電郵和快顯視窗也愈見精良。

這些電郵和視窗通常會具有來自相關銀行、外型幾可亂真的標誌,及其他直接取自網站的識別資訊,往往讓許多用戶信以為真。

沒有防備的用戶一旦回應這些電郵,便會洩露銀行戶頭號碼、密碼、或其他個人資料。

騙徒可能會使用用戶的戶頭非法過賬到其他銀行、甚至購物、申請信用卡等。

詐騙電郵通常會表達出急迫感,加入像“如果您不在48小時內回應,您的戶頭將會關閉”的句子,好讓你在不經思考的情況下直接回應。

詐騙電郵甚至會威脅要關閉或暫停你的戶頭,也可能表示需要你的回應,因為戶頭已被入侵等等。

國內各大銀行除了紛紛加強網絡銀行交易系統的保安措施,也不勝其煩提醒顧客,切勿掉入不法之徒設下的陷阱。

網絡銀行用戶必需緊記的是,銀行從來不會透過電話、手機短訊或電郵,向你索取任何戶頭號碼、個人密碼或信用卡的資料。

對于這些來歷不明的電郵,千萬不要因為一時好奇而回應,或在假冒的網站鍵入個人資料。

若發現可疑電郵,用戶除了可致電相關銀行查詢,也可把相關郵件轉發給大馬電子保安機構cyber999@cybersecurity.my。

該機構在國內已揭發至少900個,把目標瞄向國內銀行的假網站,由此可見網絡銀行欺詐案的猖獗。

網釣偷資料愿者上鉤

用戶不要在公共場所如網咖,或人多的地方使用網絡銀行服務。
在電腦保安領域,“網釣”(Phishing,和fishing發音一樣)也稱為“釣魚式攻擊”。

這是一種企圖從電子通訊,透過偽裝成信譽卓著的機構以獲得如用戶名字、密碼和信用卡等個人敏感資料的犯罪詐騙過程。

網釣技術最早在1987年問世,首度使用“網釣”這個術語是在1996年。

這詞是英文單詞釣魚的變種之一,起因于詐騙始祖利用電話犯案,因而結合Fishing與Phone創造Phishing一詞,意味放線釣魚以“釣”取受害人財務資料和密碼。

據估計,截至2007年8月,美國有360萬人因網釣失去32億美元(約97億令吉)。

中國反網釣網站聯盟(APAC)透露,去年中國新增的網釣網站有175萬個,受害網民多達4411萬,損失超過人民幣200億元(約93億令吉)。

如何分辨詐騙電郵?

騙徒日益精明,以下一些句子可供判斷你是不是收到詐騙電郵。

★請確認您的戶頭資料。

銀行或企業不會要求你以電郵傳送密碼、用戶名字名稱、身分證號碼或其他個人資訊。

當收到要求個人資料的電郵時請保持警覺,即使電郵看來很真實也不能掉以輕心,最重要是請不要回應這類詐騙電郵。

★如果您不在48小時內回應,您的戶頭將會關閉。

詐騙電郵的用語可能很親切有禮,但通常會表達出急迫感,好讓您在不經思考的情況下直接回應。

電郵可能會威脅要關閉或暫停您的戶頭,也可能表示需要您的回應,因為您的戶頭已被入侵等。

★親愛的客戶。

詐騙電郵通常是大量寄出,稱謂不會加上你的姓名。

但騙徒也有可能已掌握這些資料,大部分正當的公司應該會以你的姓名稱呼你。

★請按下方的連結,進入您的戶頭。

HTML格式的電郵可能附有網址連結,或附有網站常見的表單供你填寫。

電郵中要求你按下的連結可能帶有真實公司的完整或部分名稱,但通常是偽裝的,意即你所看到的連結實際上不會連至該網址,卻是到假網站。

只要把滑鼠指標停在連結上,便可顯示真正的網址。

詐騙方式多小心陷阱

除了“網釣”,以下也是一般的網絡銀行欺詐方式。

★破解密碼

騙徒將一再嘗試猜測密碼,直到破解成功。

★按鍵記錄(Keystroke Logging)

這是記錄鍵盤活動的程式,通常會攔截並儲存所有鍵盤活動,讓騙徒或其他惡意應用程式有機可趁,將按鍵記錄加以分類,以挑選出如登入和信用卡號碼等有價值的資料。

但也有合法的按鍵記錄程式,可供公司用以監控員工,或供父母監視兒童使用電腦的狀況。

★假造的登入頁面(Login Spoofing)

騙徒偽造登入頁面,借此取得用戶名字和密碼。

★間諜程式(Spyware)

間諜程式是基于不同目的而監視並收集用戶資訊的程式,通常是在大部分使用者不察覺的情況下執行。

許多人認為這是一種侵入式資料收集方式,而且也會造成網絡連線和系統效能雙雙降低。

★屠城木馬(Trojan Horse)

這是執行未預期或未經授權動作的惡意程式,通常用來竊取密碼。

自我保護10大守則

1. 勿用電郵網址連結

確保你登入官方的銀行網站,不要使用電郵中的網址連結,因為即使網址列顯示的網址正確也不要受騙,尤其騙徒有各種方法可在瀏覽器網址列中顯示偽裝的網址。

2. 選擇難以猜測的密碼

避免使用以下形式的密碼,如和用戶名字相同、電腦鍵盤同一排的字母(例如qwerty1或asdf123)、和你息息相關的數字,例如出生地點、生日日期、配偶名字;及字典可找到的單字。

3. 用戶名字密碼保密

切記,永不透過電郵或手機短訊洩露你的用戶名字和密碼。銀行永遠不會透過手話、電郵或手機短訊,要求你透露用戶名字和密碼。若你收到這樣要求的電郵或短訊,極有可能是“網釣”,千萬不要回應並立即聯絡相關銀行。

4. 經常更改密碼

5. 上網地點

只在自己的電腦展開網絡銀行交易,不要在公共場所如網咖,或人多的地方使用網絡銀行服務,避免有人偷窺密碼。

不要允許電腦自動填寫或儲存你的密碼,若你使用IE瀏覽器,選擇工具(Tools)、網絡選擇(Internet Options)、內容(Content)、自動完成(AutoComplete),將“表單上的用戶名和密碼”(User names and passwords on forms)前的鉤去掉,再點擊清除密碼(Clear Password)便可,瀏覽器就不會保存你的密碼。

6. 加強保安

把自己的電腦裝上個人防火牆、防間碟和防病毒軟體,並定時掃描電腦。

7. 嚴保密碼

不要把用戶名字和密碼寫在紙上或筆記本並隨身攜帶。

8. 消毀月結單

用戶需緊密監察戶頭,以防任何可疑交易,消毀每月的賬單,避免掉入不法之徒手中,及上網查詢戶頭摘要和月結單。

9. 刪除瀏覽器離線檔案

登出網絡銀行戶頭后,記得刪除瀏覽器的離線檔案(cache),若你使用IE瀏覽器,可選擇工具(Tools)、網絡選擇(Internet Options),然后點擊“刪除Cookies和刪除文檔”(Delete Cookies and Delete Files)。

10. 跟進保安威脅課題

與時併進,跟進現時的網絡保安威脅課題透過大馬人電腦緊急應對隊伍(MyCERT)跟進最新的網絡保安威脅,網址是http://www.mycert.org.my

No comments:

Post a Comment

Note: Only a member of this blog may post a comment.