看準人性弱點 銀行用戶防遭網釣

看準人性弱點
銀行用戶防遭網釣

報導：李玉萍

隨著科技越來越發達，欺詐手法也愈來愈日新月異，除了電話和手機短訊，加上網絡經濟迅速增長，線上的欺詐案也不斷發生。

據大馬電子保安機構（Cyber Security Malaysia）報告，去年我國的網絡欺詐案多達1426宗，比2009年的624宗倍增，大馬更是網絡欺詐目標的十大國家之一。

我國最常見的網絡欺詐案，莫過于冒充網絡銀行的網站，騙取用戶的帳號和密碼，再偷龍轉鳳把錢匯走，但用戶每每發現時卻已為時甚晚。

究竟不法之徒如何利用人性的弱點，從而讓這些網絡銀行欺詐案層出不窮？但身為網絡銀行用戶的你，絕對有辦法杜絕欺詐案的發生。

銀行從來不會透過電話、手機短訊或電郵向顧客索取任何個人私密資料。
國家銀行發佈的“2010年財務穩定與支付系統報告”透露，網絡銀行服務越來越受落，國民去年通過電腦完成的銀行交易總值高達1兆令吉，更從比09年的6999億令吉激增35%。

網絡銀行交易如此可觀的數據，卻也惹來不法之徒覬覦，大肆透過“網釣”（Phishing）方式騙取用戶的私密資料。

上述報告透露，“網釣”是網絡銀行的主要威脅，佔網絡銀行欺詐案的98%。

從電郵開始

“網釣”先以電郵展開網路欺詐的第一步，發出數百萬封看似銀行發出的電郵。

因為騙徒的經驗愈來愈豐富，製作的欺詐電郵和快顯視窗也愈見精良。

這些電郵和視窗通常會具有來自相關銀行、外型幾可亂真的標誌，及其他直接取自網站的識別資訊，往往讓許多用戶信以為真。

沒有防備的用戶一旦回應這些電郵，便會洩露銀行戶頭號碼、密碼、或其他個人資料。

騙徒可能會使用用戶的戶頭非法過賬到其他銀行、甚至購物、申請信用卡等。

詐騙電郵通常會表達出急迫感，加入像“如果您不在48小時內回應，您的戶頭將會關閉”的句子，好讓你在不經思考的情況下直接回應。

詐騙電郵甚至會威脅要關閉或暫停你的戶頭，也可能表示需要你的回應，因為戶頭已被入侵等等。

國內各大銀行除了紛紛加強網絡銀行交易系統的保安措施，也不勝其煩提醒顧客，切勿掉入不法之徒設下的陷阱。

網絡銀行用戶必需緊記的是，銀行從來不會透過電話、手機短訊或電郵，向你索取任何戶頭號碼、個人密碼或信用卡的資料。

對于這些來歷不明的電郵，千萬不要因為一時好奇而回應，或在假冒的網站鍵入個人資料。

若發現可疑電郵，用戶除了可致電相關銀行查詢，也可把相關郵件轉發給大馬電子保安機構cyber999@cybersecurity.my。

該機構在國內已揭發至少900個，把目標瞄向國內銀行的假網站，由此可見網絡銀行欺詐案的猖獗。

網釣偷資料愿者上鉤

用戶不要在公共場所如網咖，或人多的地方使用網絡銀行服務。
在電腦保安領域，“網釣”（Phishing，和fishing發音一樣）也稱為“釣魚式攻擊”。

這是一種企圖從電子通訊，透過偽裝成信譽卓著的機構以獲得如用戶名字、密碼和信用卡等個人敏感資料的犯罪詐騙過程。

網釣技術最早在1987年問世，首度使用“網釣”這個術語是在1996年。

這詞是英文單詞釣魚的變種之一，起因于詐騙始祖利用電話犯案，因而結合Fishing與Phone創造Phishing一詞，意味放線釣魚以“釣”取受害人財務資料和密碼。

據估計，截至2007年8月，美國有360萬人因網釣失去32億美元（約97億令吉）。

中國反網釣網站聯盟（APAC）透露，去年中國新增的網釣網站有175萬個，受害網民多達4411萬，損失超過人民幣200億元（約93億令吉）。

如何分辨詐騙電郵？

騙徒日益精明，以下一些句子可供判斷你是不是收到詐騙電郵。

★請確認您的戶頭資料。

銀行或企業不會要求你以電郵傳送密碼、用戶名字名稱、身分證號碼或其他個人資訊。

當收到要求個人資料的電郵時請保持警覺，即使電郵看來很真實也不能掉以輕心，最重要是請不要回應這類詐騙電郵。

★如果您不在48小時內回應，您的戶頭將會關閉。

詐騙電郵的用語可能很親切有禮，但通常會表達出急迫感，好讓您在不經思考的情況下直接回應。

電郵可能會威脅要關閉或暫停您的戶頭，也可能表示需要您的回應，因為您的戶頭已被入侵等。

★親愛的客戶。

詐騙電郵通常是大量寄出，稱謂不會加上你的姓名。

但騙徒也有可能已掌握這些資料，大部分正當的公司應該會以你的姓名稱呼你。

★請按下方的連結，進入您的戶頭。

HTML格式的電郵可能附有網址連結，或附有網站常見的表單供你填寫。

電郵中要求你按下的連結可能帶有真實公司的完整或部分名稱，但通常是偽裝的，意即你所看到的連結實際上不會連至該網址，卻是到假網站。

只要把滑鼠指標停在連結上，便可顯示真正的網址。

詐騙方式多小心陷阱

除了“網釣”，以下也是一般的網絡銀行欺詐方式。

★破解密碼

騙徒將一再嘗試猜測密碼，直到破解成功。

★按鍵記錄（Keystroke Logging）

這是記錄鍵盤活動的程式，通常會攔截並儲存所有鍵盤活動，讓騙徒或其他惡意應用程式有機可趁，將按鍵記錄加以分類，以挑選出如登入和信用卡號碼等有價值的資料。

但也有合法的按鍵記錄程式，可供公司用以監控員工，或供父母監視兒童使用電腦的狀況。

★假造的登入頁面（Login Spoofing）

騙徒偽造登入頁面，借此取得用戶名字和密碼。

★間諜程式（Spyware）

間諜程式是基于不同目的而監視並收集用戶資訊的程式，通常是在大部分使用者不察覺的情況下執行。

許多人認為這是一種侵入式資料收集方式，而且也會造成網絡連線和系統效能雙雙降低。

★屠城木馬（Trojan Horse）

這是執行未預期或未經授權動作的惡意程式，通常用來竊取密碼。

自我保護10大守則

1. 勿用電郵網址連結

確保你登入官方的銀行網站，不要使用電郵中的網址連結，因為即使網址列顯示的網址正確也不要受騙，尤其騙徒有各種方法可在瀏覽器網址列中顯示偽裝的網址。

2. 選擇難以猜測的密碼

避免使用以下形式的密碼，如和用戶名字相同、電腦鍵盤同一排的字母（例如qwerty1或asdf123）、和你息息相關的數字，例如出生地點、生日日期、配偶名字；及字典可找到的單字。

3. 用戶名字密碼保密

切記，永不透過電郵或手機短訊洩露你的用戶名字和密碼。銀行永遠不會透過手話、電郵或手機短訊，要求你透露用戶名字和密碼。若你收到這樣要求的電郵或短訊，極有可能是“網釣”，千萬不要回應並立即聯絡相關銀行。

4. 經常更改密碼

5. 上網地點

只在自己的電腦展開網絡銀行交易，不要在公共場所如網咖，或人多的地方使用網絡銀行服務，避免有人偷窺密碼。

不要允許電腦自動填寫或儲存你的密碼，若你使用IE瀏覽器，選擇工具（Tools）、網絡選擇（Internet Options）、內容（Content）、自動完成（AutoComplete），將“表單上的用戶名和密碼”（User names and passwords on forms）前的鉤去掉，再點擊清除密碼（Clear Password）便可，瀏覽器就不會保存你的密碼。

6. 加強保安

把自己的電腦裝上個人防火牆、防間碟和防病毒軟體，並定時掃描電腦。

7. 嚴保密碼

不要把用戶名字和密碼寫在紙上或筆記本並隨身攜帶。

8. 消毀月結單

用戶需緊密監察戶頭，以防任何可疑交易，消毀每月的賬單，避免掉入不法之徒手中，及上網查詢戶頭摘要和月結單。

9. 刪除瀏覽器離線檔案

登出網絡銀行戶頭后，記得刪除瀏覽器的離線檔案（cache），若你使用IE瀏覽器，可選擇工具（Tools）、網絡選擇（Internet Options），然后點擊“刪除Cookies和刪除文檔”（Delete Cookies and Delete Files）。

10. 跟進保安威脅課題

與時併進，跟進現時的網絡保安威脅課題透過大馬人電腦緊急應對隊伍（MyCERT）跟進最新的網絡保安威脅，網址是http://www.mycert.org.my