随着网上银行服务越来越普及,网上银行欺诈也越来越常见。事实上,银行网络钓鱼诈骗已成为互联网上最常见的犯罪活动类型之一。网络犯罪分子除了窃取银行账户的登录凭据之外,还会窃取信用卡和借记卡信息,为自己谋取经济利益。但是,这些网络犯罪究竟是如何运作的,它们对个人有什么影响?
什么是网上银行欺诈?
网上银行欺诈基本发生在网络犯罪分子能够窃取个人或公司的数字银行详细信息并获得相关银行账户或信用卡的访问权限时。然后,他们利用这一优势,直接从受害者的账户中抽取资金,或者实施其他类型的金融欺诈。从法律上讲,网上银行欺诈包括通过银行的应用程序或网站进行的各种犯罪活动。这包括非法访问他人的账户来管理或转移他们的资金。
现代银行业高度数字化的特性为攻击者提供了许多不同的机会来实施这些犯罪。尽管银行正采取越来越多的措施来确保其数字服务的安全并保护其客户的账户,但这些攻击日益复杂,使得识别这些欺诈行为在何时发生变得异常棘手,也很难预防它们。
银行诈骗是如何运作的?
网络犯罪分子使用比以往更复杂的手段来引诱毫无戒心的受害者在无意中分享他们的银行详细信息,并实施网上银行欺诈。这些攻击往往是多方位的,并包含多种技术,所以很难识别。因此,每个使用网上银行服务的人都必须了解这些攻击,以便提高警惕。网上银行欺诈主要有两种类型:账户接管 (ATO) 和自动转账系统 (ATS)。
账户接管
ATO 是网络犯罪分子利用窃取的信息接管银行账户的数字银行诈骗。这些攻击通常包括社会工程技术或恶意软件,最先进的攻击同时使用这两种技术。以下是网络犯罪分子实施网上银行诈骗和 ATO 的一些最常见方法:
- 网络钓鱼:在银行网络钓鱼诈骗中,网络钓鱼者冒充受害者的合法银行机构并发送电子邮件,要求他们确认登录凭据。通常,该电子邮件包含一个指向模仿银行真实网站的欺诈网站的链接,在欺诈网站上输入登录详细信息时,网络钓鱼者可以窃取这些信息。因此银行经常提醒客户,他们绝不会要求提供密码或个人识别码 (PIN) 等敏感信息。为了提高成功几率,网络钓鱼电子邮件通常会声称,如果客户不点击确认其详细信息,银行账户将被暂停或锁定。
- 电话钓鱼:这些攻击与网络钓鱼相似,但实施途径是电话而不是电子邮件。攻击者在电话中冒充受害者的银行,欺骗他们通过电话分享账户详细信息和登录信息。这使得攻击者可以完全访问和控制该账户。在某些情况下,攻击者会试图获取某些个人详细信息,然后将其用于网上银行欺诈计划,或让受害者直接向其转账。
- 键盘记录器:这是一种特殊类型的恶意软件 — 木马,可以监视计算机键盘的使用。当它检测到用户正在访问预设列表上的银行网站时,它会记录击键,有效窃取银行账户的登录凭据,以便攻击者稍后可以访问该账户并从中窃取资金。
- 恶意软件:网络犯罪分子使用各种恶意软件窃取他们需要的信息。他们通常以银行电子邮件诈骗开始,迫使受害者(通常不知情)将带有病毒的附件下载到设备上。然后,恶意软件模拟真实的银行会话,让受害者输入他们的详细信息,攻击者随后会窃取这些信息以实施诈骗。网上银行诈骗中最常用的一些恶意软件包括:允许攻击者远程控制设备的远程访问木马 (RAT)、拦截浏览器和银行应用程序之间数据的浏览器中间人 (MitB)、通过网站或应用程序窃取敏感信息的覆盖层,以及可监视短信以获取一次性密码的短信嗅探器。
- 窃取密码:在某些情况下,可以通过暴力破解或字典攻击来实施银行登录诈骗。这些攻击会随机猜测密码,直到找到正确的密码,然后攻击者可以使用该密码来访问关联的银行账户。
- 入侵 wifi 网络:许多互联网连接很容易受到网络犯罪分子的黑客攻击。对于几乎没有任何保护措施的不安全公共 Wi-Fi 网络来说尤其如此。通过入侵这些网络,攻击者可以窃取任何已传输的信息,包括银行详细信息。
- SIM 卡交换:这种特定的网络犯罪是指使用社会工程技术窃取受害者的电话号码并将其移植到攻击者拥有的 SIM 卡上。这样,他们就可以访问与相关电话号码关联的所有内容,而且通常可以通过接收一次性密码(银行真正的多重身份验证流程的一部分)来访问银行账户。
自动转账系统
技术和网络安全的改进意味着 ATO 的执行变得更加困难。为了应对这一趋势并继续实施网上银行欺诈,网络犯罪分子开发了新的自动化技术来有效地执行攻击,同时降低被检测到身份盗窃的风险。这些攻击称为自动转账系统 (ATM),不需要攻击者依赖银行登录诈骗。取而代之的是,这些自动化系统监视计算机用户的活动。当用户登录其银行账户时,该恶意软件会将脚本注入合法网站并发起转账,用户在发现时为时已晚。这使得攻击者无需获取用户信息,也不必通过多重身份验证协议。
ATO 与 ATS
虽然这两种类型的网上银行诈骗有所不同,但它们的目标相同,都是窃取资金和实施金融诈骗,不过它们的运作方式却截然不同。
- ATS 攻击是通过恶意软件自动执行的。ATO 诈骗需要网络犯罪分子进行一些人工工作,因为会用到社会工程。
- ATS 恶意软件需要仔细调整,并且必须针对特定的银行应用程序量身定制。这使得这些攻击更加复杂,但也更难以检测。
- 由于 ATS 攻击在合法的银行应用程序和网站内进行,因此只需等待用户提供登录凭据即可,这意味着攻击不需要窃取此信息,也不用担心需要通过多重身份验证。
身份盗窃说明
银行身份盗窃是指网络犯罪分子窃取个人身份以实施金融欺诈。通过获取姓名、生日和社会安全号码等个人信息,攻击者可以发起广泛的行动。银行账户身份盗窃(以及更广泛的身份盗窃)可能会对这些攻击的受害者产生严重而持久的影响。其中一些影响包括:
- 从现有银行账户中窃取资金。
- 以受害者的名义开设新的银行账户、办理新的信用卡或申请新的贷款。
- 获取与社会安全号码相关的社会福利,如医疗保健、社会保障金和失业金。
- 破坏信用评分。
- 教唆税务欺诈或窃取退税。
- 造成银行贷款(如抵押贷款)违约。
- 接管任何在线账户,包括电子邮件和社交媒体个人资料,并冒充受害者造成有害影响。
- 需要受害者花费大量时间和金钱来尝试恢复身份和洗刷污名。
- 确保受害者的个人信息保留在暗网上。
- 造成巨大的精神和经济压力。
网上银行诈骗对个人有哪些影响?
不幸的是,银行账户身份盗窃可能给这些攻击所针对的个人或公司造成重大影响。当然,财务影响是一个严重的问题,但还有其他重要影响需要考虑。
网上银行诈骗可能造成严重的财务后果,对个人和组织来说都可能是毁灭性的。根据被窃信息的不同,攻击者可以清空银行账户、关闭和设立新账户、破坏信用评分、实施税务欺诈、窃取退休基金以及影响抵押贷款。例如,在处理这些攻击的后果时,受害者可能会因法律费用等原因而蒙受更大的经济损失。
银行身份盗窃可影响诈骗受害者的心理健康。当一个人意识到自己成为网上银行欺诈的受害者时,可能会涌现出一系列情绪,从震惊和愤怒到恐惧和无助。当他们尝试将事情重新拼凑起来时,他们可能会承受相当大的压力,并且通常会觉得发生这种事情需要归咎于某人。
有可能防止网上银行欺诈吗?
实际上,完全避免银行网络钓鱼和其他在线诈骗是不可能的。当然,可以采取某些措施来降低其成功的可能性或减轻其影响。以下是一些需要记住的提示:
- 始终在不同的银行账户中使用唯一的登录凭据。
- 启用多重身份验证或生物识别身份验证,以获得一层额外的安全保护。
- 切勿点击电子邮件中的链接,请在 Web 浏览器中输入地址来直接访问银行的合法网站。
- 确保设备上的银行应用程序是正版的 — 从银行的网站或可信的应用商店下载并保持更新。
- 熟悉银行的安全和隐私协议,例如,大多数银行明确表示绝不会要求提供 PIN。
- 只通过安全的互联网或 Wi-Fi 连接登录银行账户,如使用 WEP、WPA 或 WPA2 保护的私人家庭网络。
- 定期检查银行和信用卡对账单,并立即与银行核对可疑交易。
- 在登录数字银行系统之前,使用虚拟专用网络 (VPN) 保护互联网连接。
- 使用反病毒软件保护设备,并确保这些软件始终为最新并运行最新的安全补丁。
避免银行身份被盗
网上银行盗窃变得越来越狡猾且难以检测。但是,这些攻击可能会对成为目标的个人和公司造成重大的财务、社会和情绪影响。了解网上银行诈骗的形式,实施数字安全功能和常识性防护措施,可以最大限度地降低网络犯罪分子实施账户接管或通过 ATS 恶意软件感染设备的可能性。
获取卡巴斯基优选版 + 1 年免费的 Kaspersky Safe Kids。卡巴斯基优选版荣获 AV-TEST 的最佳保护、最佳性能、最快 VPN、认可的 Windows 家长控制和 Android 家长控制最佳评分等五个奖项。
相关文章和链接:
相关产品和服务:
