8月27日,福田公安分局智付网安警务室成功止付一宗利用”如意金积存”进行诈骗的账户交易。据了解,与以往骗术不同,名为“如意金积存”的新骗局,诈骗分子可以侵入网银,让钱“藏”起来,然后骗走手 机验证码,盗取账户中的钱。
与以往电信诈骗不同,“如意金积存”诈骗多对准“80后”,主要与年轻人习惯于使用网络和手机消费,开通网银和手机银行的比例很高有关。同时,“80后”一般对骗术的警惕性又不高,比较容易上当。
在这种新的骗局里,骗子不仅掌握了你的个人信息,还会轻松侵入你的网银,在你不知情的前提下“帮”你购买银行理财产品,然后凭借取款的个人信息,以退款为由赢得你的信任,骗取你的手机验证码,最后将账户中的钱卷走。
那么如何正确使用网银,才能防止陷入骗子的圈套呢?本安全网为你还原骗子是怎么一步步设计圈套,告诉你,骗子如何让我们一次次落入圈套,更重要的是,我们还会教你如何正确使用网银避免被骗。
所谓的“如意金积存”电信诈骗,通常是在你不知道的情况下,“帮助”你购买银行理财产品,然后凭借你收到的个人取款信息,以退款为由骗取你的信任,骗走你的手机验证码,最后盗取你账户中的钱。身陷此骗局者,轻则损失赎回理财产品的手续费;严重的,银行卡余额全都被骗走。
骗局回放:
首先,我们来看看涉及工行“如意金”的这起骗局里,市民的钱是怎么被骗进骗子设定好的口袋里的。
从已经出现被骗的案例看,骗子手法几乎是一致的——— 先潜入储户个人网银账户用余额购买贵金属或理财产品,再以协助退款为由,骗取储户网银验证码,转走账户存款。
那么这背后,骗子到底用了什么方法呢?根据已经出现的市民爆料情况看,为了骗到钱,骗子实际上是分几步走的———第一步,骗子会先用病毒木马等方法,获取网银资料(如账号、登录密码等)。而由于转账等操作需要有U盾验证和短信验证码,因此,即便是这样,骗子并不能把钱转走,但他们会用卡里的钱来购买贵金属等理财产品,因为这一步操作是无需U盾和验证码的。一旦购买你的手机会收到95588发来的短信:“您尾号为××××的银行卡×日10:58手机银行支出(如意积存)××元”。甚至还会收到银行卡开通“工银e支付”的验证短信和付款短信。
一般人收到类似短信都会比较担心———明明没有买理财产品,为什么会收到类似的短信呢?而骗子恰是利用了这种担心的心理,迅速打电话给你(一般10分钟内)并自称是某网络平台的客服。骗子会问“您是否本人购买了如意积存的产品?”当你回答没有时,他便立刻告知:“如果不是您本人购买的话,我们可以帮忙拦截,但需要您手机短信上的验证码……”不少被骗的市民正是在这个时候,将自己验证码交出去,导致账户里的钱被骗子转走。
记者获悉,工商银行广东省分行已下发风险提示,要求各网点张贴防骗公告。对于储户存款“离奇”消失,工行总行对外发布声明称,会根据情况全额返还。购买银行的贵金属积存等产品时,其实没有发生资金对外支付,资产仍在客户本人账户内。如确认客户账户被不法分子盗用,非本人操作申购和赎回贵金属积存等产品,产生的手续费和价差银行全额返还,坚决维护客户权益。
连“宇宙行”工商银行都会发生类似的网银骗局,令不少市民对于网银使用非常担心———即便是此前强调安全第一的银行也出现因网银使用而出现资金被骗,网银到底还能不能用?
记者认为,包括网银、手机支付等在内的支付方式,确实提高了便捷性,免去了过往转账要到银行排长队的困扰,因此没必要“一朝被蛇咬十年怕井绳”,最关键的还是要在知道网银及移动支付的过程中,我们的钱有可能怎么被偷走并找到对策。
工行总行相关负责人表示,一般被骗,客户密码等关键信息是犯罪分子通过非法手段获取的。比较常见的包括向客户手机发送包含病毒链接的短信,客户点击短信后即被植入木马,造成信息泄露;有的则是通过钓鱼网站甚至通过非法途径获取客户在其他网站的资料以“撞库”的方式猜测客户电子银行登录密码尝试登录。
提醒一:免费WIFI不要乱蹭
一家股份制银行电子银行部相关技术人员告诉南都记者,事实上,就目前银行的网银交易涉及流程,要骗取用户的钱,骗子必须获取用户银行卡号、登录密码、交易密码、手机号、验证码等关键性个人信息,所以网银使用过程中,最重要的就是妥善保管上述个人信息。
因此,骗子常常会千方百计通过各种方式获取你的上述信息。其中比较常见的方法还包括向用户手机发送包含病毒链接的短信,在点击短信后即被植入木马,造成信息泄露;通过钓鱼网站套取客户的账户名和密码;而大家在公共场合登录一些不需密码验证的免费WIFI,并使用网上银行或手机银行,也极容易造成个人信息被盗。
因此,专业人士对此的建议是,妥善保管个人信息,对没有密码的W IFI谨慎使用。一旦察觉密码存在泄露可能,建议立即更改密码,不要存一时侥幸之心。
提醒二:银行密码设置有技巧
除了上述方式,就如上述工行相关负责人提到的,还有骗子会通过钓鱼网站甚至通过非法途径获取客户在其他网站的资料以“撞库”的方式猜测客户电子银行登录密码尝试登录。
这种情况,一般骗子会通过非法途径获取用户在其他网站的注册资料、手机号等信息,利用部分客户将电子银行用户名、密码设置为与其他网站用户名、密码相同的习惯,以“撞库”的方式猜测客户电子银行登录密码尝试登录。且随着线上支付的兴起,部分非银行类的网站和手机A PP由于安全级别较低,对用户的登录用户名和密码在后台采取明文存储的方式。不法分子可以通过黑客手段非法获取这些网站的用户信息后,整理成商品化的数据库进行售卖。其他不法分子再使用这些数据库到各类金融机构的网站上进行尝试登录,检测账户密码是否匹配,进而实施诈骗犯罪。
对此,专家的建议是,用户应该为电子银行设置专门的、不同于其他如会员密码、电子邮箱密码的密码,避免直接使用与本人明显相关的信息,如姓名、生日、常用电话号码、身份证件号码等作为密码。同时应将网银的查询、交易密码分开来设置,同时尽量做到每个银行都有独立的账号密码。
佰佰延伸阅读:
更多详细咨询请关注本安全网,更多安全知识尽在安全常识频道!
