|
||||
金山網絡安全專家指出,上述現象並不表明『動態口令』本身不安全,關鍵在於騙子的仿冒網站的手法太高超,普通網民根本沒法分辨『山寨銀行』網站與真正的銀行官方網站的區別,導致將『動態口令』和網銀密碼主動『送』給騙子。建議網民安裝永久免費的金山毒霸( http://www.ijinshan.com )來抵御假銀行、假購物網站的威脅。
據報道,近幾個月一波假冒中行E令卡昇級,乘機騙取儲戶動態密碼,並竊取錢款的詐騙案在全國高發。家住浙江的陳女士,接到詐騙短信後,登錄了一家域名為『www.bocg.tk』的山寨中行網站,結果僅僅數十秒鍾就被盜取了200萬元。無獨有偶,南京的徐先生也被類似的手法騙取了101萬元。
在警方的努力下,多起『中行E令』詐騙案告破,犯罪嫌疑人也被繩之以法。然而,金山網絡安全中心發現,『中行E令』案僅僅是眾多『動態口令』詐騙案中的一個特例。目前多家銀行的儲戶都收到了要求昇級『動態口令』的詐騙短信,同時,網上也出現了對應的『山寨銀行』。此類詐騙行為,不僅沒有停止,反而更加『洶湧』。
網友『射手的摩羯』在微博中控訴說,剛纔他接到短信,『光大銀行』說他的動態口令將要到期,讓他登錄『www.cebbork.com』修改。因為短信格式特別正式,他就登錄了短信中的網址,並輸入了卡號、密碼等信息。點完『確認』按鈕之後,他仔細看了看IE地址欄中的網址,纔恍然大悟,原來是誤入了『釣魚網站』。於是,立即通知銀行,凍結了賬戶,避免了一場劫難的發生。
圖01:山寨銀行的界面和網址與真正的銀行官方網站非常相似
在上面的案例中,我們看到山寨光大銀行網站的域名為『cebbork.com』,而真正的光大銀行官網的域名為『cebbank.com』,僅僅相差兩個英文字母,而且兩個網站的界面也『長得很像』,真的是『真假難辨』。但安裝有金山毒霸的用戶,則可輕易將其識別(如圖02)。
圖02:金山毒霸可有效攔截『山寨銀行』等釣魚網站網址
據金山網絡安全中心披露,除光大銀行外,深圳發展銀行、臺州銀行等多家地方銀行均在網上出現了『山寨版』。
據了解,動態口令是根據專門的算法每隔60秒生成一個與時間相關的、不可預測的隨機數字組合,該認證技術曾被認為是目前能夠最有效解決用戶的身份認證方式之一,可以有效防范木馬盜竊用戶的財產或資料。
然而『動態口令』詐騙短信和仿真度極高的山寨銀行網站的出現,卻給這種認證技術的安全性帶來極大挑戰。李鐵軍指出,雖然動態口令在60秒鍾後就會失效,但是木馬程序通過『山寨銀行』獲取用戶賬號信息和動態口令,並成功登錄網銀的時間往往僅需數秒。
針對近期『動態口令』詐騙短信泛濫、山寨銀行以假亂真等安全威脅,金山網絡安全專家建議網民采取如下方式避免上當受騙:
1.正規銀行一般都使用固定的短號碼發送短信,如中行是『95566』;招行的是『95555』;工行的是『95588』等。如果發短信的是一個陌生的手機號碼,一般都是詐騙短信。
2.如果收到類似『您的動態口令將過期,請盡快登錄昇級』等短信信息,一定要致電給銀行,進行電話詢問核實。加強自我防范意識,不要輕信盲從。
3.登錄網上銀行時務必看清網址,謹防進入釣魚網站。安裝永久免費的金山毒霸等專業殺毒軟件保護電腦安全。據了解,金山毒霸2011 SP6版新推『網購保鏢』,具備『網址雲安全』『文件雲安全』『網購防火牆』三層立體防護體系。其中,『網址雲安全』功能可有效攔截假銀行、假購物、假支付等釣魚網站。