隨著線上金融服務越來越受到歡迎,線上金融詐騙也隨之增加。事實上,銀行釣魚詐騙已成為網路上最常見的犯罪活動之一。除了竊取銀行帳戶的登入資訊外,網路犯罪人士還會竊取信用卡和簽帳金融卡的資訊以獲取金錢利益。此類網路犯罪到底如何進行?對個人又有什麼影響?
什麼是線上金融詐騙?
線上金融詐騙基本上是當網路罪犯竊取個人或公司的數位金融詳細資訊,並獲得相關銀行帳戶或信用卡的存取權。他們能利用此類資訊獲得利益,不論是直接使用帳戶進行提款或是進行其他類型的金融詐騙。線上金融詐騙在法律上而言包括使用銀行應用程式或網站所進行的所有犯罪活動,其中包括非法存取他人的帳戶以使用或轉帳其資金。
現代銀行的高度數位化為攻擊者提供了許多進行此類非法活動的機會。儘管銀行不斷採取更多措施以保障其數位服務並保護客戶的帳戶,但不斷演變的攻擊手法讓預防詐騙變得非常困難且難以阻止。
金融詐騙的原理為何?
網路罪犯使用越來越先進的手法誘使毫無戒心的受害者不經意地分享其的金融資訊並以此進行線上金融詐騙。此類攻擊經常具有很多層次並使用多種手法,因此很難察覺。使用線上金融服務的人都應對此類攻擊有所了解,以便保持警惕。線上金融詐騙主要有兩種類型:帳戶接管(ATO)和自動轉帳系統(ATS)。
帳戶接管
帳戶接管(ATO)為網路罪犯使用竊取的資訊來控制銀行帳戶的數位金融詐騙。此類攻擊經常利用社會工程手法或惡意軟體,最先進的攻擊方式甚至兩者都會用到。以下是網路罪犯進行線上金融詐騙和 ATO 的常見方法:
- 釣魚攻擊:在金融釣魚詐騙中,釣魚者假冒受害者有來往的合法金融機構,並傳送電子郵件要求受害者確認其登入憑證。電子郵件中通常會有一個連結,引導受害者至貌似該銀行的真正網站,但其實卻是假冒的詐騙網站。而當受害者在該網站輸入登入資訊時,釣魚者就能竊取該資訊。銀行也因此經常提醒客戶,銀行永遠不會要求提供密碼或個人識別碼(PIN)等敏感資訊。釣魚電子郵件為了提高成功機會,通常會聲稱如果客戶不點擊並確認資訊,銀行帳戶就會被凍結或鎖定。
- 電話釣魚:此類攻擊與釣魚攻擊相似,但其通過電話而非電子郵件進行。攻擊者在電話中假冒受害者有來往的銀行,誘騙其分享帳戶資訊和登入資訊,有了這些資訊,攻擊者就能完全存取和控制其帳戶。攻擊者有時也會嘗試獲得某些個人詳細資訊,稍後可用於其線上金融詐騙計劃,或是直接誘騙受害者進行轉帳。
- 鍵盤側錄器:其為稱作木馬程式的一種特殊惡意軟體,能監控電腦鍵盤的使用。當其偵測到使用者正在使用其預設清單上的金融網站時,就會開始記錄鍵盤的輸入,直接取得銀行帳戶的登入憑證,攻擊者隨後即可存取此帳戶,並從中竊取資金。
- 惡意軟體:網路罪犯使用多種惡意軟體來竊取所需的資訊。常見的手法包括使用假冒的銀行電子郵件誘使受害者在其裝置上下載病毒附件,而受害者經常完全不知情。惡意軟體隨後會模仿真正的金融操作,誘使受害者輸入相關資訊,攻擊者再竊取該資訊以進行詐騙。線上金融詐騙中最常見惡意軟體包括讓攻擊者能遠端控制裝置的遠端存取木馬程式(RAT)、攔截瀏覽器和金融應用程式間資料的中間人攻擊(MitB)、還有使用網站或應用程式竊取敏感資訊的覆蓋攻擊,以及監控簡訊以竊取一次性密碼的簡訊側錄器。
- 竊取密碼:銀行登入詐騙有時可以透過暴力破解或字典攻擊來進行。此類攻擊會隨機猜測密碼,直到找到正確的密碼為止,然後攻擊者再用找到的密碼存取相關的銀行帳戶。
- 駭入無線網路:許多網際網路連線都容易受到網路罪犯的駭入,特別是缺乏安全措施的公共無線網路。攻擊者駭入此類網路後能竊取任何使用此網路傳輸的資訊,包括銀行資訊。
- SIM 卡置換:此類網路犯罪活動使用社會工程手法竊取受害者的電話號碼,並將其轉移到攻擊者持有的 SIM 卡,之後攻擊者就能存取與該電話號碼相關的所有資訊,並讓其能接收銀行多因素身份驗證流程的一次性密碼來存取銀行帳戶。
自動轉帳系統
隨著科技和網路安全的進步,詐騙份子越來越難進行 ATO。為了突破防護並繼續進行線上金融詐騙,網路罪犯開發了全新的自動化技術來進行高效攻擊並降低身分盜竊活動受到偵測的可能性。此技術又稱作自動轉帳系統(ATS)並無需攻擊者自行銀行登入進行詐騙,自動化系統會自動監控電腦使用者的活動。當用戶登入其銀行帳戶時,此惡意軟體就會會將程式碼注入合法網站並啟動金錢轉帳,而當用戶察覺時通常已經太遲。此手法讓攻擊者無需收集使用者資訊以及通過多因素認證協定。
ATO vs ATS
雖然這兩種線上金融詐騙都以竊取資金和進行金融詐騙為目的,其進行方式卻大不相同。
- ATS 攻擊透過惡意軟體自動進行,而 ATO 詐騙則需要網路罪犯手動操作,因為需要使用到社會工程手法。
- ATS 惡意軟體需要仔細調整,並需要針對特定的金融應用程式進行獨特設定,其攻擊因此更為複雜,但也更難受到偵測。
- 由於 ATS 攻擊在合法的金融應用程式和網站內進行,其只需等待用戶主動提供登入憑證,因此不需要竊取相關資訊即可進行攻擊,也無需擔心多因素認證。
身分盜竊
金融身分盜竊為網路罪犯竊取個人身份來進行金融詐騙。透過獲取姓名、生日和身分證字號等個人詳細資訊,攻擊者就能進行一系列的不法行動。銀行帳戶身分盜竊以及更廣泛層面上的身分盜竊可能會對受害者產生嚴重且長久的影響。其中可能包括:
- 自現有的銀行帳戶中竊取資金。
- 以受害者的名義開立新的銀行帳戶、取得新的信用卡或申請新的貸款。
- 盜用與身分證字號相關的社會福利,例如:醫療、社會保險和失業救濟。
- 破壞信用評分。
- 策劃稅務欺詐或竊取稅款退款。
- 造成房屋貸款等銀行貸款違約。
- 接管線上帳戶,包括電子郵件和社群媒體個人資訊,並假冒受害者造成更多傷害。
- 受害者需要耗費大量時間和金錢試圖恢復身份並澄清名譽。
- 受害者個人資訊仍然存在於暗網中。
- 造成重大情緒和經濟壓力。
線上金融詐騙對個人有什麼影響?
不幸的是,銀行帳戶身分盜竊可能對遭受此類攻擊的個人或公司帶來嚴重後果。財務損失固然嚴重,但還有其他需要重視的重大影響。
線上金融詐騙可能會造成重大財務損失,對個人和組織都可能帶來毀滅性的後果。視竊取到的資訊而定,攻擊者可以清空銀行帳戶、關閉和建立新帳戶、損害信用評分、進行稅務欺詐、竊取退休金,以及影響房屋貸款。在處理此類攻擊所造成的影響時,受害者可能會因法律費用而產生更多的財務損失。
金融身分盜竊可能影響詐騙受害者的心理健康。當受害者發現自己遭受線上金融詐騙時,可能會出現震驚、憤怒、恐懼或無助等一系列情緒反應,在嘗試挽回一切時也可能會承受巨大壓力並經常覺得是他人的錯。
有辦法預防線上金融詐騙嗎?
現實層面上,永遠不可能完全避免金融釣魚和其他線上詐騙,不過仍然可以採取某些措施來降低其攻擊成功率或減輕其影響。以下為一些建議:
- 多個銀行帳戶務必分別使用獨特的登入憑證。
- 啟用多因素或生物特徵認證,增加額外保護。
- 絕對不要點擊電子郵件中的連結,直接於網頁瀏覽器輸入網址並前往銀行的官方網站。
- 確認裝置使用正版金融應用程式,自銀行的網站或受信任的應用商店下載並維持更新。
- 了解銀行的安全和隱私協定,例如:大多數銀行會明確表示其永遠不會要求提供個人密碼。
- 僅使用安全的網路或 Wi-Fi 連線登入銀行帳戶,例如:使用 WEP、WPA 或 WPA2 加密的私人家用網路。
- 定期檢查銀行和信用卡帳單,發現可疑交易時立即連絡銀行。
- 使用虛擬私人網路(VPN)保護網路連線登入數位金融系統。
- 使用防毒軟體保護裝置,並維持軟體更新並安裝最新的安全修補程式。
預防金融身分盜竊
線上金融盜竊手法日益精密且難以偵測。此類攻擊可能會對受害的個人和公司帶來嚴重財務、社會和情緒影響。了解線上金融詐騙的進行方式並實施數位安全功能和常識性的保護措施,就能盡可能減少網路罪犯奪取帳戶或透過 ATS 惡意軟體感染裝置的可能性。
立即使用卡巴斯基高階版 + 1 年免費 Kaspersky Safe Kids。卡巴斯基高階版榮獲五項 AV-TEST 獎項,包括最佳保護、最佳效能、最快 VPN、經認證的 Windows 家長控制以及 Android 家長控制最佳評級。
相關產品和服務: