发布于moslem

年关将近,大家小心

年关将近的时候,不法分子都抱着大干一把回家过年的心态,所以治安案件发生的频率就比较高,公安机关也往往都在这些时候提醒大家多加注意。

现在这种趋势已经延伸到互联网上了。

先是看到有人利用 假冒中国银行网站骗取用户名密码,地址伪装得还挺好:www.bank-off-china (真正的域名是 www.bank-of-china.com),现在已被查封,前一段就曾有人利用中国银行的全国统一客服号 95566 来做了一个假冒网站,www.955666.com,目前已不能访问。

今天又看到,有人还在假冒中国工商银行的网站(http://www.icbc.com.cn),这哥们够绝,地址改成 http://www.1cbc.com.cn ,而且竟然在首页就要求输入用户和密码,而且各个密码都不放过,各位如果运气好,现在还能访问到这个网站,无独有偶,之前有人就是用 www.iabc.com.cn 来假冒。

这不由让我想起了以前整理的一些与邮件诈骗有关的案例,摘录如下:

2003 年,一些在中国工商银行网上银行注册的客户,收到了一封来自网上银行系统管理员的电子邮件,宣称由于网络银行系统升级,要求客户重新填写用户名和密码。这一举动被工行工作人员发现后,经证实是不法分子冒用网站公开信箱,企图窃取客户的资料。

2004 年初,美国花旗银行的部分客户收到一封诈骗邮件,该邮件要求他们去一个假冒的网站验证银行帐号是否被篡改。同样在去年8月份也发生类似事件,在那次事件中,一个网络骗子威胁如果客户不透露他们的个人信息的话,就关闭他们在花旗银行的结算帐户。其他最近出现的欺骗邮件包括:一封自称来自“花旗银行安全部门”的邮件,宣称银行服务器要升级,要求客户提供他们的帐户资料;另一封是自称来自“帐户管理部门”的邮件,要求客户提供信用卡信息以便“保留银行资历”。

2004 5月份,英国国家高科技犯罪中心(NHTCU)逮捕了12名利用Phishing(网站仿冒)作案的疑犯。这12名疑犯受雇于俄罗斯犯罪集团,在英开设了用于周转盗取资金的账户。并向没有防范的用户发送一些貌似来自银行的电子邮件,声称收件者的账户需要更新,目的在于钓取(fishing)客户的账户资料或信用卡号码。通常,邮件会提供一个看似官方网站的链接,客户一旦点击此链接,便会被提示输入其账户信息,这些信息最终落入诈骗者手中,从而让用户蒙受损失.

澳大利亚四大银行之一的澳大利亚和新西兰银行集团(ANZ)也曾遭遇到“重量级”的Phishing对手攻击。ANZ、联邦银行、Westpac 以及国家澳大利亚银行一直以来都是这些Phishing诈骗的主要目标。

Gartner估计,过去一年中,有1/5的美国人成为Phishing的攻击目标。Phishing诈骗正使飞速发展的网上银行业陷入困境。 而据MI2G的数据,仿冒的电子邮件涉及到包括西班牙、新加坡、澳大利亚、加拿大、香港甚至瑞士的全球35家银行。但其首要的攻击目标是北美和英国。去年,有100多宗独立的Phishing诈骗案发生在这两个地区,被仿冒的皆是大名鼎鼎的银行,像Fleet 银行,ABN AMROAmerican Express、美国银行、HSBCBarclays银行,甚至包括英国中央银行 —— 英格兰银行。

Gartner最近的一项调查表明,有5700万美国消费者肯定收到或很可能收到过此类仿冒的电子邮件。Gartner称,在去年遭遇此类诈骗的400万消费者中,14%的人则发现了假冒的花旗银行网站。

看来,Phishing(网站仿冒)技术已经成为国内外网上银行面临的最大安全威胁之一,而且这种威胁又是被动的,从表面上看,很难有好的办法解决,但以下一些关于主动行动的建议则能从很大程度上降低用户受损范围/额度,而且对银行来说,能起到相当好的免责作用。

1、 在网上银行等对外客户提供服务的系统中合理而谨慎地使用电子邮件,绝不利用电子邮件作为完成交易或其它相关功能的通道或手段,在选择电子邮件实现通知功能时,也须谨慎考虑是否易被非法利用,并且一定要对其中的敏感信息进行必要的屏蔽(如帐号的后几位用 * 代替等)。

参考:招商银行的个人银行业务中,只有“手机短信通知”一种方式,没有使用电子邮件作为通知手段。而手机作为终端明显比电子邮件更为安全。

2、 如果在系统中一定要使用电子邮件,则考虑使用数字证书来加密和签名邮件,以防止被截取利用或假冒,同时要加强对于邮件服务器本身进行保护,避免非法中继(转发)邮件或被暴力攻击。

3、 加强最终用户教育,主动防范邮件诈骗。

在网上银行等对外服务系统中,须在首页或登录页等重要位置向客户明确提示安全使用注意事项,常见的邮件诈骗防范等。

参考:花旗银行在网站上的安全公告 花旗提醒消费者防范电子邮件诈骗

亲爱的客户,本行提醒您,曾有不法集团假冒花旗银行的名义,在美国, 英国及亚洲等地散发电子邮件,以变更支存账户或要求客户再次确认账户数据等为由,要求客户回复并输入个人账户数据与密码。花旗银行提醒客户,花旗银行的系统安全无虞,且银行绝不会寄发电子邮件要求客户揭露账户信息或任何密码,请客户千万不要响应此类邮件,并马上删除。?

详情参见:http://www.citibank.com.tw/events/about/052104/

已读: 1,630

“年关将近,大家小心”的9个回复

  3. 晕,前几天帮一出国的朋友去民生银行交月供,想上网查查银行的位置,结果google出来一个跟民生银行www.cmbc.com.cn完全一样的网站。现在google不出来了。

  6. 专门建一个网上银行交易的账号!不交易账户里面就存10 RMB,这样即使被诈,也就损失10 RMB

  7. Pingback: 水分测定仪
  8. Pingback: 转速表
  10. Pingback: 螺杆泵
  11. Pingback: 温度仪表

评论已关闭。