防钓鱼拯救我的“电子钱包”
开篇:润墨网以专业的文秘视角,为您筛选了一篇防钓鱼拯救我的“电子钱包”范文,如需获取更多写作素材,在线客服老师一对一协助。欢迎您的阅读与分享!
今年1月12日〜13日两天,南京市鼓楼区居民孙先生和徐先生,相继收到短信称中国银行要求登录网页进行“中行E令”升级。两人依言登录短信中的网址后,不料,个人银行资料被人“钓走”,分别被骗走64万元和101万元。2月17日,南京数十名民警兵分四路,南下福建、广东等地全力侦破,抓获了一个诈骗团伙共计13人。该团伙正是实施这一新型电信诈骗案的恶徒。
网络的发达,使得网银用户逐年递增,尤其是近几年电子商务的普及,让网银用户增长更为迅速。但是网银诈骗案件的不断发生,也敲响了用户高度关注网银交易安全性的警钟。有关信息显示,截至2010年11月底,中国反钓鱼网站联盟秘书处累计认定并处理的钓鱼网站达32496个,其中2010年1月〜11月,累计认定并处理钓鱼网站20570个,较去年同期大幅上升136%。
在“钓鱼”网站频现、网银诈欺事件频发事件后,银行、第三方支付公司、用户都应该做出一些反思。
银行下调
网银转账金额上限
近日,在木樨园做服装生意的李女士收到了建设银行发来的网银转账限额调整通知――建设银行于3月2日起将个人网银盾客户转账交易单笔限额和日累计交易限额,分别调整为50万元和100万元人民币,此前该行的转账限额分别是50万元和500万元。
这是继去年12月份农业银行调整了个人网银盾客户的转账限额之后,又一家大型商业银行将网银的转账标准进行了调整。建行转账交易的类型包括客户向本人或他人账户的转账与汇款、定活互转、跨行转账、私对公转账等。
对于这次限额调整,建行客服人员表示,主要是为了客户的资金安全着想。此前,中国建设银行、中国银行等大型银行都在其官方网站上了警示性信息,提醒客户在登录网银时一定要核实准确地址,中行除了将行内转账及跨行转账的单笔限额和日累计交易限额分别由100万元和200万元,下调至10万元和20万元外,还为网银交易新增了一个“安全阀”。
兴业银行也于3月8日表示,为进一步增强网银证书的安全性,中国金融认证中心(CFCA)对该行证书签名控件进行了升级,即日起,客户进入网上银行指令签名页面后,需要更新签名控件以继续操作。该银行还在3月5日推出了电子银行统一安全认证体系,将“网银短信保护”升级为“电子银行短信口令”,适用于网上银行、电话银行、手机银行转账汇款等资金变动类业务。
而前几日,深发展银行也通过网站公告:近日发现有不法分子通过短信形式欺诈信息,以银行系统升级或动态编码器过期需进行更新为由,诱骗客户登录假冒网上银行,盗取客户网银用户名、密码及动态口令。该行提醒用户要从银行门户网站登录办理业务,认清消息的号码是否为银行专号,同时不要对银行门户网站以外的任何网站或他人暴露自己的用户名、密码、动态口令等信息。
工商银行也推出了“防钓鱼”安全控件,据说能有效防范钓鱼网站(网页)对客户账户的欺骗和攻击。
不断爆出的有客户被“钓鱼网站”骗取账户资金的消息,让越来越多的人开始担心网银交易的安全性,为了减少危害的程度,银行纷纷下调网络银行转账金额上限,多数银行也对自己的网银安全进行了升级。
剖析各种钓鱼陷阱
“网络钓鱼”的骗术给人们的上网安全带来威胁,在网络购物过程中,这种钓鱼欺诈造成的危害又最为直接。
据第三方支付公司汇付天下合规部相关负责人介绍,就网络钓鱼诈骗的种种表现形式来看,大致可分为4种:假冒银行、第三方支付等链接;发送病毒控制用户电脑从而盗取银行卡等信息;以银行付款确认邮件等方式诱骗上当;中奖做局诱骗网友汇款等。
该人士表示,这4种诈骗方式中有两种最为常见也最隐蔽:第一种是虚假链接的传统型钓鱼方式。即网友在网购过程中,当进行到第三方支付平台要付款时,链接到了诈骗分子做的虚假页面,该页面在页面形式、扣款金额等方面做得与原网购网站非常相似,而通过这个虚假页面进行支付的金额则自动进入了诈骗分子的账户。
第二种是当前比较突出的木马型钓鱼方式。这是一种更隐蔽、更可怕的方式,当电脑中了这种木马病毒,在网购交易中的支付平台到银行扣款的环节当中,木马程序会自动在后台生成另一笔交易,新的交易指向了一个新的账户,银行的扣款自动到了诈骗分子的账户,而网友毫无察觉。
那么,针对这种网友毫无察觉的网络欺诈行为,第三方支付公司能做些什么,能否冻结这笔欺诈交易?
汇付天下合规部相关负责人表示,“由于骗子发起的是真实订单(诱骗或操控受害者电脑完成的支付),支付公司系统处理成功后,就需要给商户付款,不能冻结该笔资金,否则支付公司就违反了商业合同。因此,支付公司目前能做的只是后期将这笔订单的去向告知客户,协助警方追查而已。”
支付公司
出招“防钓鱼”
针对这种情况,第三方支付公司纷纷出招应对。
汇付天下采取的措施是:对于虚假链接钓鱼方式,采用时间戳、域名确认、IP地址比对等方式,通过设定交易时间敏感值、核实过滤支付来源的网址、IP识别技术对比订单生成IP与支付完成的返回IP等,对不一致的进行阻止;而对于木马病毒这种更加隐性而高级的手段,则采用人机识别技术,有效识别人工操作和木马的机器操作行为差异,如加验证码和二次确认等。“从升级效果看,加验证码和二次确认方式,虽然使用户的便利性受到影响,但对打击木马型钓鱼效果明显。”该负责人表示。
去年支付宝公司也联合银行推出了风险联防计划,主要针对“冒充订单”骗取消费者付款的行为。支付宝表示,这种反欺诈的技术可以对订单的买卖双方身份进行匹配核实,“在用户接到一个链接后,打开时系统就会判断这个订单是不是你的,如果不是,系统就会自动中断链接,避免‘钓鱼’发生”。
不过,支付宝风险管理部负责人青牛也提醒说,“如果用户经受不住骗子预先设计的低价诱惑或者没有遵守网购规则,就会有受骗的可能。”从目前的情况看,“防骗”的核心第三方支付是用户不要随意打开别人给的链接和文件,并严格遵照购物流程操作。
据记者了解,除了支付宝、汇付天下外,易宝支付、财付通等第三方支付平台也都推出或者升级了自己的风控体系,以打击钓鱼骗术。
除了第三方支付的参与,业界呼吁各界一起努力进行防范,包括商户、银行、支付等整个网购流程中的每一个环节都需要加强。例如被骗子利用销赃的一些网站要加强实名制,一旦警方认定诈骗,被利用销赃的网站有责任提供骗子的真实身份,并承担赔付责任;银行也需要不断升级防钓鱼机制,以免被木马钻了漏洞;支付公司也需进一步升级支付平台的风控能力;而广大网络消费者则更要多加留心,比如不要从不明网站下载任何东西,不要轻易点击电子邮件中的链接,在支付过程中,留意链接网址,是否是正确的官网链接域名等等。
除此之外,有关人士认为,公安部门也必须加强介入给予更多支持。在2011年“两会”上,全国政协委员、中央财经大学证券期货研究所所长贺强就提出,当前打击网上诈骗的过程中,因为涉及数额较小公安机关不能立案的现象确实存在,但对小额网上欺诈,需要加以研究,公安部门必须加强介入和重视。
易观国际分析师曹飞也表示,加强立法,加强产业链的联合,甚至加强支付平台之间的技术互通和监控互动,将能更加有效地促进电子商务的健康发展,保障消费者的合法利益不受侵害。“电子支付是所有网上交易的最后一步,也是阻止犯罪得逞的最关键环节,从电子支付领域出发,纵向梳理整个产业链条,横向梳理整个互联网结构,将是净化互联网乃至网络交易环境的一个重要手段。”
链接
网银使用安全提示
工商银行的相关专业人士建议,用户应做到以下几点,以确保网银安全:访问银行网站时直接输入银行网址登录,不要采用超级链接的方式间接访问;如已向不明人员或网站提供网银密码,要立即登录网银修改密码,或到柜面重置密码;查看网银欢迎页面上的“上次登录时间”和实际登录情况是否相符;每次使用网银后,点击页面右上角的“退出登录”;下载并安装由银行提供的用于保护客户端安全的控件;不要开启不明来历的电子邮件;不要在公共场所使用网银。