【本報訊】網上銀行欺詐方式層出不窮,虛假網頁騙局已過時,最新的方法是即使登入真正銀行網頁亦會中招。金融管理局表示,本港最近首次出現利用特洛伊木馬一類的間諜程式,「遮蓋」真正網上銀行的網頁,從而套取客戶登入資料及密碼,進行網上轉賬至未經登記第三者戶口。
該局發言人透露,今年4月至6月,已收到八家銀行發現有關未授權交易個案通知,其中涉及兩間銀行的三個客戶,曾被騙徒以上述手法詐騙,損失共達28.9萬元。據了解,銀行已與客戶解決賠償安排。
中木馬程式 私隱被盜
金管局發出通告,呼籲所有認可金融機構,加強網上銀行的保安措施,每次完成一宗高風險網上交易後,需即時連同交易詳情,以手機短訊或其他方式通知客戶。該局強烈鼓勵銀行客戶充份利用確認服務核實詳情,一發現未經授權的可疑交易,馬上通知銀行。警方發言人表示,已留意到有關電腦病毒散播,盜取個人銀行資料的問題。
銀行界稱,客戶要預防木馬程式的詐騙,方法有三:一是檢查電腦並加裝軟件消除這類程式;二是將網上銀行轉賬至未經登記的第三方戶口,金額預設為「零」(即只會轉賬至指定戶口);三是將每次轉賬上限設定在極低水平。
以往網上銀行詐騙,有利用超連結,將登入網上銀行的用戶,接連至虛假網站,從而套取用戶名稱或密碼資料,亦有採用較原始手法,利用與銀行真正域名極相近的假網站,進行欺詐。
不過,這次行騙手法的複雜程度,在於網站是真正的銀行網站,但因用戶本身電腦一早已感染了病毒而不自知,當客戶登入真正銀行網站,輸入用戶名稱、密碼或雙重認證資料時,有關欄目便如遮蓋了牛油紙般,資料一輸入便被黑客截取。
手法精密 破雙重認證
黑客套取資料後,即時在另一邊廂,再進行網上銀行交易,如將客戶資金轉賬至未經登記戶口,銀行收到轉賬指示,會發手機短訊向客戶發出只用一次的密碼作核對。
這邊廂,由於客戶首次輸入個人資料時,欄目實際上被黑客遮蓋,故網頁隨即彈出輸入指示失敗,但黑客行騙手法精密,會再加入要求客戶輸入從手機短訊收到的一次性密碼,同樣此欄目亦被「牛油紙」遮蓋,客戶不虞有詐又輸入密碼後,黑客再截取,於是便套取了雙重認證資料,回覆銀行,完成欺詐交易。
專家提醒
胡亂下載引毒入腦
電腦業人士表示,電腦病毒及間諜軟件在電腦世界十分普遍,要避免因此造成損失,可從多方面着手。專業資訊保安協會副會長劉漢良指,銀行網頁介面設計非常重要,單靠輸入密碼或出生日期,對客戶保障絕不足夠,只要電腦已被間諜軟件入侵,任何用鍵盤輸入的密碼均有可能被黑客盜去,銀行除可利用客戶隨身的解碼器增強保安,亦可在網頁設計下工夫,如內地建設銀行網上銀行登入,屏幕上會顯示一個隨機鍵盤,客戶要利用滑鼠點擊屏幕鍵盤來輸入密碼,這樣便可減低風險。
客戶方面,應避免進入下載不知名軟件或檔案的網站,因間諜軟件能依附在任何軟件。電腦應安裝防病毒軟件或防間諜程式,並定期更新,其他電腦軟件亦應定期更新,堵塞漏洞。當發現電腦出現不尋常情況,如經常彈出視窗要求安裝軟件,應特別注意。本報記者