【網絡詐騙】小心偽冒銀行短訊！　2大最常用電子銀行網絡釣魚方法

2021年上半年假冒銀行的短訊不絕，從金管局的網站就可以數到，截至2021年6月11日，偽冒銀行網站的報告已有95宗，當中涉及23家銀行，其中「被冒認之王」是中銀香港，高達32宗！其次就是滙豐（8宗）、東亞（7宗）、渣打（6宗）、星展（5宗）等。

以下就是最近期的一宗騙案了。

【偽冒滙豐PayMe短訊騙財　提防可疑連結網站：按此】

電子銀行網絡釣魚最常用第1種方法：偽冒SMS

這類利用銀行e-banking的網絡釣魚行為，一般採用2種套路。

第一種就是透過SMS或電郵，訛稱銀行帳戶出現異常，必須馬上登入SMS上的銀行網址作出確認，而SMS上的網址當然是假的喇，當大家很聽話地在偽冒網站雙手奉上自己的帳戶名稱和密碼後，騙徒便可以進行下一步行動了。

不過一般騙徒並不會就這樣罷手的，因為只利用方法一竊取大家電子銀行的帳戶名稱及密碼，其實作用並不大，因為單用密碼登入而沒有其他驗證方法如SMS一次性密碼（OTP）或流動保安編碼（Mobile security key，MSK）下，即行內人俗稱的「一重認證」（1FA）情況下，銀行一般只會容許進行小額轉帳（Small-value payment），最新HKMA在2018年6月修訂的上限為每日10,000元。

勞師動眾才每天騙得了10,000元，騙徒當然不會那麼容易罷手了。

電子銀行網絡釣魚最常用第2種方法：假扮朋友

看畢方法一，大家會明白騙徒只竊取大家電子銀行的用戶名稱和密碼是不夠的，要想辦法從「一重認證」（1FA）變成「雙重認證」（2FA），這樣就能突破每天10,000元轉帳的上限了。

最直接的方法，就是偷取大額轉帳時銀行發給大家的SMS 一次性驗證碼（OTP），那騙徒會在大家手機上偷安木馬程式來閱讀大家的SMS嗎？

其實騙徒極少極少會這樣做，因為1）如果本身技藝那麼高超，一開始就不用發釣魚短訊給大家啦；2）現在很多銀行Apps都會在每次登入時，先掃描整台手機有沒有可疑軟件，所以如果要安裝木馬程式實在是一個打草驚蛇的舉動了。

既然Cyber Hacking實在廢時失事，又會打草驚蛇，那Social Hack就是又廉價又高效的方法。甚麼是Social Hacking？簡單來說就是扮Friend和扮Staff了。

朋友，我剛用你的電話號碼在華田銀行替你登記了抽獎，大獎是Dyson V8吸塵機一部，你可以把你剛收到的手機驗證碼發給我嗎？

大家可能會說，那麼明顯都有人相信？首先是騙徒只騙笨的人，如果你不是其中一個，我恭喜你咯；其次網絡行騙這東西，最後都是大數法則，20個有1個信，我的回報隨時是好幾百萬的哦！

所以說大家收到任何人要求你交出OTP，都千萬不要答應哦！

大家擔心成為下一個受害者？聽日有另一篇文章教你9個反制措施。

 

【文章來源：華田銀行；已獲授權轉載。原題：銀行閑談 (129) — 偽冒銀行釣魚短訊不絕，市民有什麼最有效的反制措施呢？】

【關於作者】
兒時夢想做i-banker，結果做了bank worker，還要是retail那種。過去在各大小銀行不同部門流徙，叫人借錢、催人還錢、審批貸款、出股票app、出借錢app、出信用卡、廣告策劃、銷售管理、分行佈點、生物認證、電子排隊、機器學習、敏捷開發，到現在還未安定下來。不懂財經、不懂經濟，只想談一下「銀行」這回事。