慎防偽冒電郵及虛假銀行網站

匯思

2011年08月23日

慎防偽冒電郵及虛假銀行網站

大家有否收過自稱由「銀行」發出的電郵,內容表示因系統需進行緊急更新而促請你立即透過該電郵所附的超連結接駁至該行的網上銀行網站,然後輸入你個人及戶口的敏感資料?這些偽冒電郵英文稱作「phishing emails」。「phishing」解作網上釣魚,源自同音的「fishing」,是一種誘使電腦使用者上釣的行騙手法,騙徒以偽冒電郵及虛假網站作為餌誘工具,以騙取受害人的網上銀行登入名稱及密碼等敏感資料。利用這種手法的騙徒通常發出佯作銀行等機構的電郵,但收件人按下這些電郵所附載的超連結後,便會被接駁至酷似真實網站的虛假網站,令他們信以為真,然後提供上述敏感資料。

本港及全球各地都有發現偽冒電郵及虛假網站的事例。香港金融管理局(金管局)在2004年收到最多有關偽冒電郵及虛假網站的報告,達到34宗。其後在2005年引入雙重認證後,這個數字有所下降,但金管局仍不時收到這方面的報告;例如,在2010年便有17宗,而在今年首7個月內,金管局便收到14宗報告。

早年的偽冒電郵可能出現打錯字及網址與官方網站截然不同等現象,因此較易被收件人識破。但騙徒手法「與時並進」,偽冒電郵製作越來越仔細,相連的虛假網站亦幾可亂真。最近一宗個案更發現騙徒採取多重途徑來誘使電郵收件人提供敏感資料。受害人首先收到偽冒電郵,在他提供了銀行登入名稱、密碼及聯絡資料等敏感資料後,他收到由銀行發出附有只可使用一次的密碼的手機短訊,並收到自稱是銀行職員的來電。不幸地,受害人向該佯裝銀行職員的騙徒透露了該一次性密碼,最終發現銀行戶口的資金被轉入騙徒的戶口。相信騙徒利用偽冒電郵成功取得所需資料後,便登入受害人的網上銀行戶口,並啟動一筆需要雙重認證的交易;騙徒繼而致電受害人並騙取其透過手機短訊所收到的一次性密碼,然後利用這個密碼成功完成交易,令受害人蒙受金錢損失。

銀行客戶應時刻緊記,本港銀行絕不會向客戶發出附有接駁至交易網站的超連結的電郵,亦絕不會以電郵、電話或親身方式要求客戶提供登入密碼或一次性密碼等敏感資料。若客戶收到自稱銀行職員要求提供敏感資料的查詢,應斷然拒絕,並立即通知銀行。這是避免受騙的最直截了當的做法。

網上銀行客戶亦應繼續遵守慣常的保安措施,包括不要透過電郵附載的超連結、互聯網搜尋引擎或可疑的突現式視窗接駁至銀行網站。這個做法對防範「跨網址程式編程攻擊」(cross-site scripting,簡稱XSS)亦很有效。最近亦有本地媒體報導有關XSS的攻擊手法。進行XSS攻擊的騙徒通常以電郵向受害人傳送一個狀似真確的網站(即在真實網站網址後加上精心設計的惡意代碼),或把加上惡意代碼的網址的超連結附載於可疑網站。當受害人按鍵接駁至該超連結時,該惡意代碼便可能會在受害人的瀏覽器啟動。由於XSS攻擊只針對受害人的瀏覽器(不會影響該相關網站),惡意代碼可設計成在受害人的瀏覽器展示一個貌似真確的假網站,誘使受害人提供敏感資料,亦可設計成可從受害人的電腦直接偷走其cookies等敏感資料。為免墮入XSS攻擊的圈套,網上銀行客戶切勿透過任何超連結來登入銀行戶口,而應要在瀏覽器的網址欄自行填入正確網址,或將該網址設定為網絡書籤,方便日後登入。

網上銀行客戶亦應在電腦裝設個人防火牆及防病毒軟件,並且不時更新。客戶應避免到訪可疑的網站或從其下載任何軟件,並加倍小心處理由不明來歷發件人發出並載有附件的可疑電郵。金管局網站載有多項網上銀行保安的有用貼士,可供查閱。

此外,網上銀行客戶應使用銀行提供的雙重認證服務,其中一項很重要的保安措施就是銀行在完成高風險的網上交易(如向一個無登記的第三方戶口轉撥資金)後必須即時以有效方式(如手機短訊)通知客戶有關的交易詳情。銀行客戶應核實交易詳情,若發覺任何未經授權的可疑交易,應立即通知銀行。若銀行的網上銀行服務採用透過手機短訊發出的一次性密碼作為雙重認證的程序,客戶亦應核對手機短訊所顯示的交易詳情;如有發現任何可能試圖進行未經授權交易的情況,應即時通知銀行。

網上服務應用的科技日新月異,騙徒手法亦層出不窮,金管局會繼續監察網上銀行服務的發展及趨勢,並檢討及按需要加強相關的管控措施。

助理總裁(銀行監理)
萬少焜
2011年8月23日

最新匯思
修訂日期 : 2011年08月24日