跳至主內容

網上理財欺詐

一名女子保護她的手機和電腦免受網上理財欺詐的侵害。

隨著網上理財服務越來越受歡迎,網上理財欺詐也變得越來越常見。事實上,銀行網絡釣魚詐騙已成為互聯網上最常見的犯罪活動類型之一。除了竊取銀行戶口的登入憑據外,網絡犯罪分子為了獲得經濟利益還會竊取信用卡和扣賬卡資料。但是,這些網絡犯罪究竟是如何運作的,它們對個人有甚麼影響呢?

甚麽是網上理財欺詐?

當網絡犯罪分子能夠竊取個人或公司的數碼理財資料並存取相關的銀行戶口或信用卡時,就會發生網上理財欺詐。然後,他們會利用這些資料直接從戶口中提取金錢,或者以其他方式進行其他類型的金融欺詐。從法律上來說,網上理財欺詐涵蓋透過銀行應用程式或網站進行的各種犯罪活動。這包括非法存取他人的戶口,從而管理或轉移他們的資金。

現代銀行業的高度數碼化性質為攻擊者提供了很多不同的機會來進行這些犯罪活動。雖然銀行採取了越來越多的措施來保護其數碼服務和客戶戶口,但這些日益複雜的攻擊令識別這些欺詐的攻擊時間變得非常棘手,並且難以預防。

銀行詐騙如何運作?

網絡犯罪分子正在使用越來越複雜的手段來誘騙毫無戒心的受害者無意地分享他們的理財資料,從而進行網上理財欺詐。通常,這些攻擊是多方面和包含各種技術,因此很難識別。因此,每個使用網上理財服務的人都必須瞭解這些攻擊,以便能夠有所警惕。網上理財欺詐主要有兩種類型:戶口接管(ATO)和自動轉賬系統(ATS)。

戶口接管

戶口接管是數碼理財詐騙,網絡犯罪分子利用盜取的資訊接管銀行戶口。這些攻擊通常涉及社會工程技術或惡意軟件,而最先進的攻擊則會同時使用這兩種方法。以下是網絡犯罪分子進行網上理財詐騙和戶口接管的一些最常見方法:

  • 網絡釣魚:在銀行網絡釣魚詐騙中,網絡釣魚者會冒充受害者的合法銀行機構,發送電子郵件要求他們確認登入憑據。通常,電子郵件中有一個導向欺詐網站的連結,該網站模仿銀行的真實網站 -- 當在此處輸入登入資料時,網絡釣魚者就可以竊取這些資料。所以,銀行會經常提醒客戶指出銀行永遠不會要求提供密碼或個人識別碼(PIN)等敏感資訊。為了增加成功的機會,網絡釣魚電子郵件通常會指出如果客戶不點擊連結並確認其資料,銀行戶口將被暫停或封鎖。
  • 語音釣魚:這些攻擊類似於網絡釣魚,不過是透過電話而不是電子郵件進行攻擊。攻擊者在電話中冒充受害者的銀行,並欺騙他們透過電話分享他們的戶口資料和登入資料。這樣,攻擊者就能夠完全存取和控制戶口。在某些情況下,攻擊者會試圖獲取某些個人資料,這些資料以後會被用於網上理財欺詐計劃或讓受害者直接向攻擊者轉賬資金。
  • 鍵盤記錄器:這是一種特殊類型的惡意軟件(木馬程式),用於監控電腦鍵盤的使用。當偵測到使用者正在登入預設清單中的銀行網站時,鍵盤記錄器會記錄按鍵動作並有效地竊取銀行戶口的登入憑據,攻擊者日後就可以存取該戶口並從中竊取資金。
  • 惡意軟件:網絡犯罪分子使用各種惡意軟件竊取他們需要的資訊。他們首先會使用銀行電子郵件進行欺騙,迫使受害者通常在不知情的情況下將帶有病毒的附件下載到設備中。然後,惡意軟件會模仿真實的網上理財過程,誘騙受害者輸入他們的資料,攻擊者在竊取資料後會進行各種詐騙活動。網上理財詐騙中所使用的一些最常用惡意軟件包括可讓讓攻擊者以遙距方式控制設備的遙距存取木馬程式 (RAT)、攔截瀏覽器和理財應用程式之間數據傳送的瀏覽器中間人(MitB)、還有透過網站或應用程式竊取敏感資訊的重疊檔案,以及監控 OTP 訊息的短訊嗅探器。
  • 竊取密碼:在某些情況下,可以透過暴力方式或字典攻擊進行銀行登入資料詐騙。這些方法是透過隨機猜測密碼,直到找到正確的密碼,然後攻擊者就可以使用密碼來登入連結的銀行戶口。
  • 入侵 wifi 網絡: 很多互聯網連接容易受到網絡犯罪分子的入侵。特別是針對幾乎沒有保護措施的不安全公共 Wi-Fi 網絡。透過入侵這些網絡,攻擊者可以竊取傳輸的任何資訊,包括銀行資料。
  • SIM 卡交換:這種特殊的網絡犯罪涉及使用社會工程技術竊取受害者的電話號碼,然後移植到攻擊者擁有的 SIM卡。這樣,他們就能夠存取與受害者電話號碼相關的所有內容,並且接收銀行的真實多因素身份驗證過程的一次性密碼來存取銀行戶口。

自動轉賬系統

科技和網絡安全的改善意味著更難執行 ATO。為了解決這個問題並繼續進行網上理財欺詐,網絡犯罪分子開發了新的自動化技術來有效地執行攻擊和降低被偵測到身份盜用的風險。這些稱為自動轉賬系統(ATM),攻擊者不需要依賴銀行登入資料詐騙。相反,這些自動化系統監視電腦使用者的活動。當使用者登入其銀行戶口時,惡意軟件會將指令碼注入合法網站並啟動匯款操作,當使用者發現時已為時已晚。這樣,攻擊者就不需要收集使用者資訊來通過多因素身份驗證協定。

ATO 與 ATS

雖然這是兩種不同類型的網上理財詐騙,而運作方式也有所不同,但其目標是一樣的 -- 竊取資金和進行金融欺詐。

  1. ATS 攻擊透過惡意軟件自動執行。ATO 詐騙需要網絡犯罪分子進行一些手動工作,因為涉及使用社會工程。
  2. ATS 惡意軟件需要仔細校準,並且必須針對特定的銀行應用程式量身定制。因此,這些攻擊更加複雜,但也更難被發現。
  3. 由於 ATS 攻擊在合法的銀行應用程式和網站中運作,因此只需等待使用者提供其登入憑據,攻擊不需要竊取相關資訊或擔心需要通過多因素身份驗證。

身份盜竊說明

網上理財身份盜竊是指網絡犯罪分子竊取個人身份進行金融欺詐。透過獲取姓名、生日和社會保險號碼等個人資料,攻擊者可以發起各種攻擊行動。銀行戶口身份盜竊(以及更大規模的身份盜竊)可能會對這些攻擊的受害者產生嚴重而持久的影響。其中一些影響包括:

  1. 從現有銀行戶口竊取資金。
  2. 以受害者的名義開設新的銀行戶口、獲得新的信用卡或新的貸款。
  3. 獲得與社會安全號碼相關的社會福利,例如醫療保健、社會保障金和失業救濟。
  4. 破壞信貸評分。
  5. 進行稅務欺詐或竊取退稅款項。
  6. 導致銀行貸款違約,例如按揭貸款。
  7. 接管任何網上帳戶,包括電子郵件和社交媒體個人檔案,並冒充受害者進行各種有害活動。
  8. 要求受害者花費大量時間和金錢來嘗試恢復他們的身份並證明清白。
  9. 確保受害者的個人資訊保留在暗網上。
  10. 造成嚴重的情緒和經濟壓力。

網上理財詐騙有甚麽個人後果?

很不幸,銀行戶口身份盜用可能會對受到這些攻擊的目標個人或公司產生重大影響。當然,財務影響是一個嚴重的問題,但還有其他影響需要考慮。

網上銀行詐騙可能會產生重大的財務後果,這對個人和機構來說都可以是毀滅性的。根據被盜的資訊,攻擊者可以清除銀行戶口、關閉和開立新戶口、破壞信貸評分、進行稅務欺詐、竊取退休金和影響按揭貸款。例如,為了處理這些攻擊所產生的後果,受害者可能會發現引致昂貴的法律費用,遭受更多的經濟損失。

理財身份盜竊也會影響成為騙局受害者的人的心理健康。當一個人意識到自己已成為網上理財欺詐的受害者時,會出現各種各樣的情緒,從震驚和憤怒到恐懼和無助。當他們試圖理清所有事情時,他們可能會承受相當大的壓力,並且經常會覺得有必要責怪某人容許這種事情發生。

有可能防止網上理財欺詐發生嗎?

實際上,不可能完全避免理財網絡釣魚和其他網上詐騙。當然,可以採取某些措施來降低其成功的可能性或減輕其影響。以下是一些需要牢記的提示:

  • 請務必在不同的銀行戶口使用獨一無二的登入憑據。
  • 啟用多因素或生物識別身份驗證以獲得額外一層的安全防護。
  • 切勿點擊電子郵件中的連結 -- 在網絡瀏覽器中直接輸入網址前往銀行的合法網站。
  • 確保設備上的理財應用程式是真實的 -- 從銀行的網站或受信任的應用程式商店下載並確保是最新版本。
  • 熟悉銀行的安全和私隱協定 -- 例如,大多數銀行會明確表示他們永遠不會要求提供 PIN 碼。
  • 僅透過安全的互聯網或 Wi-Fi 連接登入銀行戶口,例如使用 WEP、WPA 或 WPA2 保護的私人家用網絡。
  • 定期查看銀行和信用卡的月結單,並立即與銀行核實可疑交易。
  • 在登入數碼理財系統之前,使用虛擬專用網絡 (VPN) 保護互聯網連接。
  • 使用防毒軟件保護設備,並確保這些軟件是最新版本並運行最新的安全修補程式。

避免理財身份盜竊

網上理財盜竊正變得越來越複雜,偵測也變得越來越困難。但是,這些攻擊可能會對目標個人和公司產生重大的財務、社會和情緒影響。瞭解網上理財詐騙的外觀和採用數碼安全功能和運用一般常識,可以最大限度地減少網絡犯罪分子進行戶口接管或用 ATS 惡意軟件感染設備的可能性。

購買 Kaspersky Premium 可享 1 年免費 Kaspersky Safe Kids。Kaspersky Premium 榮獲五項 AV-TEST 獎項,分別是最佳保護、最佳效能、最快 VPN,Windows 批准的家長控制和 Android 家長控制的最佳評級

相關產品和服務:

Kaspersky Premium

Kaspersky Endpoint Security Cloud

Kaspersky VPN Secure Connection

網上理財欺詐

網上理財詐騙是數碼理財領域的嚴峻現實。以下是這些攻擊的運作原理,以及如何盡量減少惡意者成功攻擊的機會。
Kaspersky 標誌

相關文章