春节期间爆发的“中行E令”诈骗案,让亿万网民心有余悸。然而,近日金山网络安全中心发现,虽然警方已经破获数起由“中行E令卡升级”短信引发的诈骗案,但类似的诈骗手法却没有终结。目前,已经有多家银行的储户在“动态口令升级”诈骗短信的诱使下,误入“山寨银行”,并被盗取了动态口令和账号信息。
金山网络安全专家指出,上述现象并不表明“动态口令”本身不安全,关键在于骗子的仿冒网站的手法太高超,普通网民根本没法分辨“山寨银行”网站与真正的银行官方网站的区别,导致将“动态口令”和网银密码主动“送”给骗子。建议网民安装永久免费的金山毒霸(http://www.ijinshan.com)来抵御假银行、假购物网站的威胁。
据报道,近几个月一波假冒中行E令卡升级,乘机骗取储户动态密码,并窃取钱款的诈骗案在全国高发。家住浙江的陈女士,接到诈骗短信后,登录了一家域名为“www.bocg.tk”的山寨中行网站,结果仅仅数十秒钟就被盗取了200万元。无独有偶,南京的徐先生也被类似的手法骗取了101万元。
在警方的努力下,多起“中行E令”诈骗案告破,犯罪嫌疑人也被绳之以法。然而,金山网络安全中心发现,“中行E令”案仅仅是众多“动态口令”诈骗案中的一个特例。目前多家银行的储户都收到了要求升级“动态口令”的诈骗短信,同时,网上也出现了对应的“山寨银行”。此类诈骗行为,不仅没有停止,反而更加“汹涌”。
网友“射手的摩羯”在微博中控诉说,刚才他接到短信,“光大银行”说他的动态口令将要到期,让他登录“www.cebbork.com”修改。因为短信格式特别正式,他就登录了短信中的网址,并输入了卡号、密码等信息。点完“确认”按钮之后,他仔细看了看IE地址栏中的网址,才恍然大悟,原来是误入了“钓鱼网站”。于是,立即通知银行,冻结了账户,避免了一场劫难的发生。
图01:山寨银行的界面和网址与真正的银行官方网站非常相似
在上面的案例中,我们看到山寨光大银行网站的域名为“cebbork.com”,而真正的光大银行官网的域名为“cebbank.com”,仅仅相差两个英文字母,而且两个网站的界面也“长得很像”,真的是“真假难辨”。但安装有金山毒霸的用户,则可轻易将其识别(如图02)。
图02:金山毒霸可有效拦截“山寨银行”等钓鱼网站网址
据金山网络安全中心披露,除光大银行外,深圳发展银行、台州银行等多家地方银行均在网上出现了“山寨版”。
据了解,动态口令是根据专门的算法每隔60秒生成一个与时间相关的、不可预测的随机数字组合,该认证技术曾被认为是目前能够最有效解决用户的身份认证方式之一,可以有效防范木马盗窃用户的财产或资料。
然而“动态口令”诈骗短信和仿真度极高的山寨银行网站的出现,却给这种认证技术的安全性带来极大挑战。李铁军指出,虽然动态口令在60秒钟后就会失效,但是木马程序通过“山寨银行”获取用户账号信息和动态口令,并成功登录网银的时间往往仅需数秒。
针对近期“动态口令”诈骗短信泛滥、山寨银行以假乱真等安全威胁,金山网络安全专家建议网民采取如下方式避免上当受骗:
1.正规银行一般都使用固定的短号码发送短信,如中行是“95566”;招行的是“95555”;工行的是“95588”等。如果发短信的是一个陌生的手机号码,一般都是诈骗短信。
2.如果收到类似“您的动态口令将过期,请尽快登录升级”等短信信息,一定要致电给银行,进行电话询问核实。加强自我防范意识,不要轻信盲从。
3.登录网上银行时务必看清网址,谨防进入钓鱼网站。安装永久免费的金山毒霸等专业杀毒软件保护电脑安全。据了解,金山毒霸2011 SP6版新推“网购保镖”,具备“网址云安全”“文件云安全”“网购防火墙”三层立体防护体系。其中,“网址云安全”功能可有效拦截假银行、假购物、假支付等钓鱼网站。
