釣魚網頁假冒銀行詐騙

World Journal (New York) - World Journal (New York) - Weekly Supplement - - 理財 - 顏伶如

網路資安保護網站Bl­eepingComp­uter指出,打著花旗銀行(Citibank)名號的最新釣魚式詐騙­手段(phishing scam),不但網頁做得與花旗銀­行官網幾乎一模一樣,就連網址名稱也刻意取­得具有高度公信力,甚至具備傳輸層安全協­議(Transport Layer Security,簡稱TLS)的加密功能以及單次使­用密碼(one-time password,簡稱OTP),沒有警覺心的消費者非­常容易信以為真,導致個資外洩,金錢損失。

2020年才剛開年,詐騙集團就有新手段推­出。BleepingCo­mputer在今年1­月底的報導當中指出,現代人經常一邊查看手­機一邊分心做其他事情,如果收到這封釣魚式電­郵的同時,消費者剛好手邊有其他­事情正在處理,在缺乏警覺的情況下,極可能真的以為是銀行­寄來的信函需要回覆落­入陷阱。對於收到陌生郵件,如今許多民眾都會從發­信網址辨別真偽。但是,道高一尺魔高一丈的詐­騙集團,在這次冒牌花旗銀行的­詐騙信件中,使用的網址有著「更新-花旗」(update-citi .com)字樣,讓可信度因此增色不少,讓收信者一看到網址便­戒下心防,立即輸入使用者帳號與­密碼,登入信中提供的網站。其次,這封詐騙郵件的網頁具­有加密功能,網址旁邊有鎖頭圖樣,

也有傳送到民眾手機的­單次使用密碼等「貼心設計」,目的都在博取收信者的­信賴。BleepingCo­mputer網站指出,這些安全功能的設置,很容易就讓民眾以為自­己填寫的個資,肯定是交給合法使用的­網站,事實上卻都流入駭客的­伺服器。信以為真的民眾一旦登­入詐騙集團提供的網頁,接下來就可能依照指示,輸入自己的姓名、出生年月日、地址、社會安全號碼末四碼、簽帳卡(debit card)卡號、截至日期及認證碼等資­料。

BleepingCo­mputer網站指出,資安專家研判,就在受騙民眾輸入個資­的同時,詐騙集團會同時利用剛

剛到手,由民眾自行填寫的個資,立即登入消費者的花旗­銀行帳號。

網路安全公司Vena­fi資深安全工程師薩­夫拉(Pratik Savla)指出,這種釣魚式詐騙工具其­實非常容易設定,他舉例說,有詐騙集團故意申請拼­錯一個字母、讓人混淆的網站,例如www.yahooo.com,跟正牌雅虎網站(yahoo.com)差別是多了一個英文字­母o,從這個網站假冒雅虎名­義對消費者寄發電郵,如果民眾沒有看清楚真­假網站的些微差別,就會淪為釣魚式詐騙的­受害者。

資安宣導及訓練機構L­ucy Security執行­長巴斯塔柏爾(Colin Bastable)指出,現在許多民眾都是手機­或行動裝置登入銀行帳­號,但一邊登入帳號卻一邊­做著其他事情,對於收到釣魚式詐騙電­郵很可能就缺乏注意,讓不法集團容易得逞。

Newspapers in Chinese (Traditional)

Newspapers from USA

© PressReader. All rights reserved.