大家有否收过自称由「银行」发出的电邮,内容表示因系统需进行紧急更新而促请你立即透过该电邮所附的超连结接驳至该行的网上银行网站,然后输入你个人及户口的敏感资料?这些伪冒电邮英文称作「phishing emails」。「phishing」解作网上钓鱼,源自同音的「fishing」,是一种诱使电脑使用者上钓的行骗手法,骗徒以伪冒电邮及虚假网站作为饵诱工具,以骗取受害人的网上银行登入名称及密码等敏感资料。利用这种手法的骗徒通常发出佯作银行等机构的电邮,但收件人按下这些电邮所附载的超连结后,便会被接驳至酷似真实网站的虚假网站,令他们信以为真,然后提供上述敏感资料。
本港及全球各地都有发现伪冒电邮及虚假网站的事例。香港金融管理局(金管局)在2004年收到最多有关伪冒电邮及虚假网站的报告,达到34宗。其后在2005年引入双重认证后,这个数字有所下降,但金管局仍不时收到这方面的报告;例如,在2010年便有17宗,而在今年首7个月内,金管局便收到14宗报告。
早年的伪冒电邮可能出现打错字及网址与官方网站截然不同等现象,因此较易被收件人识破。但骗徒手法「与时并进」,伪冒电邮制作越来越仔细,相连的虚假网站亦几可乱真。最近一宗个案更发现骗徒采取多重途径来诱使电邮收件人提供敏感资料。受害人首先收到伪冒电邮,在他提供了银行登入名称、密码及联络资料等敏感资料后,他收到由银行发出附有只可使用一次的密码的手机短讯,并收到自称是银行职员的来电。不幸地,受害人向该佯装银行职员的骗徒透露了该一次性密码,最终发现银行户口的资金被转入骗徒的户口。相信骗徒利用伪冒电邮成功取得所需资料后,便登入受害人的网上银行户口,并启动一笔需要双重认证的交易;骗徒继而致电受害人并骗取其透过手机短讯所收到的一次性密码,然后利用这个密码成功完成交易,令受害人蒙受金钱损失。
银行客户应时刻紧记,本港银行绝不会向客户发出附有接驳至交易网站的超连结的电邮,亦绝不会以电邮、电话或亲身方式要求客户提供登入密码或一次性密码等敏感资料。若客户收到自称银行职员要求提供敏感资料的查询,应断然拒绝,并立即通知银行。这是避免受骗的最直截了当的做法。
网上银行客户亦应继续遵守惯常的保安措施,包括不要透过电邮附载的超连结、互联网搜寻引擎或可疑的突现式视窗接驳至银行网站。这个做法对防范「跨网址程式编程攻击」(cross-site scripting,简称XSS)亦很有效。最近亦有本地媒体报导有关XSS的攻击手法。进行XSS攻击的骗徒通常以电邮向受害人传送一个状似真确的网站(即在真实网站网址后加上精心设计的恶意代码),或把加上恶意代码的网址的超连结附载于可疑网站。当受害人按键接驳至该超连结时,该恶意代码便可能会在受害人的浏览器启动。由于XSS攻击只针对受害人的浏览器(不会影响该相关网站),恶意代码可设计成在受害人的浏览器展示一个貌似真确的假网站,诱使受害人提供敏感资料,亦可设计成可从受害人的电脑直接偷走其cookies等敏感资料。为免堕入XSS攻击的圈套,网上银行客户切勿透过任何超连结来登入银行户口,而应要在浏览器的网址栏自行填入正确网址,或将该网址设定为网络书签,方便日后登入。
网上银行客户亦应在电脑装设个人防火墙及防病毒软件,并且不时更新。客户应避免到访可疑的网站或从其下载任何软件,并加倍小心处理由不明来历发件人发出并载有附件的可疑电邮。金管局网站载有多项网上银行保安的有用贴士,可供查阅。
此外,网上银行客户应使用银行提供的双重认证服务,其中一项很重要的保安措施就是银行在完成高风险的网上交易(如向一个无登记的第三方户口转拨资金)后必须即时以有效方式(如手机短讯)通知客户有关的交易详情。银行客户应核实交易详情,若发觉任何未经授权的可疑交易,应立即通知银行。若银行的网上银行服务采用透过手机短讯发出的一次性密码作为双重认证的程序,客户亦应核对手机短讯所显示的交易详情;如有发现任何可能试图进行未经授权交易的情况,应即时通知银行。
网上服务应用的科技日新月异,骗徒手法亦层出不穷,金管局会继续监察网上银行服务的发展及趋势,并检讨及按需要加强相关的管控措施。
助理总裁(银行监理)
万少焜
2011年8月23日
