几十秒时间,近200万元被转走
据了解,此类案件并非偶发。据浙江省公安厅经侦总队不完全统计,从去年12月到今年2月间,我省发生此类案件40余起,涉案金额上千万元。
因此,省公安厅及多个市公安局都在各自的门户网站上发布了预警信息。
由于此类案件案情复杂,犯罪分子都隐藏在互联网后,给破案带来很大难度。但今年1月,我省警方还是成功破获了一起涉案上百万元的此类诈骗案。
去年12月9日,绍兴人章某因误信某行“E令升级”诈骗短信,48秒内被转走100万元。而当天,绍兴市内连续发生了6起雷同的案件。
接警后,绍兴越城公安分局成立了专案组,并积极和上级各部门联系沟通,今年1月13日,民警兵分三路在广西、广东、福建三省统一展开抓捕行动,成功抓获以福建人叶某为首的10名犯罪嫌疑人。
叶某交代,他们在仿冒网站上植入了盗号木马程序,并通过这种木马盗取用户账号、密码以及动态口令。
也就是说,当章某在绍兴输入账号密码时,远在深圳的叶某等人第一时间取得了这些信息,并马上将信息输入已经打开等候着的某行官方网站。
此时,在绍兴的章某正在叶某等人设置的“钓鱼网站”上进行“E令升级”,章某自然地输入了动态口令,这个口令再次被叶某等人利用。
随后,叶某等人在一分钟内成功转账,并将100万元平均转入预先准备好的50个账号里。
层出不穷的诈骗案件也引起了该行的重视。如今,该行已经在网银转账业务上增设了防线,1月21日起,大幅降低用户单笔转账金额;自动向用户发送手机交易确认码,只有用户确认后,才能转账。同时,该行的客服热线也增加了关于谨防网银诈骗的提醒。
种种防线在一定程度上遏止了此类案件的蔓延。
绍兴破获首起案件,银行进行多项措施防控
为什么这些骗子都把眼睛盯在该银行的E令卡上,在业内人士眼中,这也并非偶然。
记者请教了一名曾在两家银行负责网银方面工作的业内人士,他说:“虽然从客观上说,用户在钓鱼网站内中招不能完全说是‘E令’之过,但其动态密保系统确实存在一定缺陷。”
目前,用户端网银安全工具主要包括数字证书、动态密保和手机验证三种方式,该行E令系统采用的就是动态密保。
所谓动态密保就是只能使用一次的密码,这种动态密码的原理在于:它通过特定的计算方式,在用户的E令牌中产生一个随机变化的密码,用户需要使用这个密码登录网银,然后进行下一步操作。
该行推出的“E令”,实际上就是“电子动态口令生成器”,只要是该行的网银用户,都会有这样一个动态口令牌。但是这个动态口令是有时间限制的,它每隔60秒就会自动更新一次。
然而,此次网银诈骗,不法分子打的就是这个“动态口令”的主意。因为这个动态口令在60秒内使用都是有效的,所以不法分子就设置了“钓鱼网站”,当该行的网银用户进入“钓鱼网站”输入动态口令时,动态口令就会被截取,只要不法分子在60秒内使用这个动态口令,就能轻而易举操作该行网银用户的账户,从而达到转账的目的。
所以,在此前发生的案件中,犯罪分子也确实是在短短几十秒内完成的转账。“一分钟时间,足够操作熟练的人完成整个犯罪过程,动态口令这种安全工具本身就存在漏洞。”这位业内人士说。
而其他一些银行目前正广泛使用的是数字证书(俗称U盾),U盾在登录网上银行时会有密码、验证时有密码、汇款时有密码,相当于有三道关口,因此保障程度相对较高。
加上U盾都是即插即用,一旦从电脑上拔出,就相当于中断信号连接,只要数字证书在用户手中,黑客就很难拦截这个密码。
免责声明:本文仅代表作者个人观点,与凤凰网无关。其原创性以及文中陈述文字和内容未经本站证实,对本文以及其中全部或者部分内容、文字的真实性、完整性、及时性本站不作任何保证或承诺,请读者仅作参考,并请自行核实相关内容。