無論是導致人心惶惶的銀行釣魚短信騙案,還是近日掃QR碼領優惠券、國內稅務局官網領錢等,犯罪團夥在設計騙局時,專門針對本地人,以獲利作爲最終目標。
釣魚騙案環環相扣,經過精心布局,背後是具有一定商業模式的團夥在作案,也不排除有熟知行業內情的前職員參與策劃行騙腳本。
針對近期的幾種釣魚騙案,《聯合早報》專訪兩名白帽黑客——隱私忍者(Privacy Ninja)聯合創始人方紹宇和威聯集團(Wizlynx group)亞太總裁廖金福,通過白帽黑客視角,剖析犯罪團夥的行騙過程,讓公衆一探究竟。
白帽黑客,是指利用黑客技術,協助企業或機構測試網絡安全和系統性能的善意黑客。
無論是導致人心惶惶的銀行釣魚短信騙案,還是近日掃QR碼領優惠券、國內稅務局官網領錢等,犯罪團夥編造出聳動的情節,誘導受害者點進釣魚網站,通過騙取對方的個人資料、銀行信息等得手。
犯罪團夥在設計騙局時,專門針對本地人,以獲利作爲最終目標。以銀行釣魚短信詐騙爲例,當犯罪團夥設計腳本時,他們須邀請熟悉金融行業的知情人士,來熟悉銀行工作流程、客戶習慣等資料。
廖金福指出,這不排除此類騙案的參與者有離職的前銀行職員,或是熟知行業模式的金融從業者。方紹宇說,因爲腳本得“在地化”,因此犯罪團夥中必有本地成員,甚至部分是本地團隊。
經過與知情人士、本地成員幾輪溝通後,犯罪團夥已經能事無巨細地掌握業內流程,從中發現短信中的鏈接可以作爲突破口,因此才設計了釣魚短信詐騙。
行騙過程中,犯罪團夥成員也分工明確。如“行動組”負責計劃與執行各部門活動,包括獲取受害者登錄信息和密碼等;“技術組”負責網頁寄存(web hosting)、購買域名、通過軟件群發短信電郵等;“營銷組”須搜集線索建立受害者檔案,大量購買手機號碼等數據;“金融組”負責准備第三方或是代收賬戶,通常是向負債累累的個人提供酬勞,讓對方借出銀行賬戶或申請新賬戶,或是從即將回國的外國人手中購買賬戶資料;“網絡安全組”則會使用僞造的身份信息來注冊網絡賬戶,利用VPN在行騙同時隱藏IP地址。
經過一番缜密的部署後,詐騙團夥坐等受害者落入騙局,獲取相關信息,他們利用獲取到的個人資料信息,可以在另一部手機上進行操作。
在銀行釣魚短信騙案中,不法分子就接管了受害人的銀行賬戶,綁定新的聯絡號碼,提高轉款額度。詐騙團夥還會陸續在賬戶內添加多個收款人,將錢款逐一轉出,也會時刻盯緊轉款上限,避免觸發銀行的通知短信。或者看准時間在淩晨時分進行轉賬,這樣即便有通知短信發送,受害者可能因在睡夢中而錯失舉報的最佳時機,睡醒發現時已晚。
當錢財到手後,不法分子可能通過第三方賬戶從自動取款機取走現金,當然已經進行一定的僞裝,避免鏡頭捕捉到對方的臉。
不法分子也可能直接通過快速海外彙款服務轉移資金,購買加密貨幣,或是直接用于購買一些昂貴物品。
複制網站只需一分鍾
釣魚網站背後的組織可能嚴密,但技術本身不複雜,甚至只需一分鍾就能複制出假網站。
犯罪團夥十分善用公開的網絡資源,輕而易舉便可以制作出釣魚網站。比如,黑客只需打開任何網站的頁面,後台複制網站編碼,一分鍾內就克隆出一個以假亂真的釣魚網站頁面。即使網站頁面中一些圖片、影像資料需做調整,對于黑客也不是難事,最多花上半個小時就能修改好。
黑客只須具備最基礎的編碼知識,便可以在釣魚網站上創建一個後端窗口,或是轉發程序,坐等受害人上當,輕松獲取他們的個人銀行資料。
制作好網站頁面後,黑客便會上網購買與官網網站相似的域名,這些網址可能與真正官網只有一個字符之差。以方紹宇提供的其中一個購買網站爲例,記者只須輸入自己想要購買的網站網址,網站立刻顯示出該網址是否可以購買以及價格,下方更會出現一系列類似的網站地址供顧客一並購買,而這些網址的價格每年只需7美元(約9.5新元)到10多美元不等。
值得注意的是,這些黑客在注冊或購買網站時,他們都會掩飾真實身份,通常姓名、注冊信息都是僞造的,用于付款的借記卡也是一次性的,在某些情況下,他們甚至會使用加密貨幣來付款,來防止被追查。
廖金福說,犯罪分子可能一次過購買多個網址,同時擁有多個可用的網站網址,也提前做好備份,一旦其中一個釣魚網站被當局取締後,不法分子立刻可以激活其他釣魚網站繼續行騙。他表示,因爲這些網站的供應商可能來自不同國家和地區,申請取締網站的時間和規定也會不同。
方紹宇說,除更換網址外,若釣魚網站被取締,黑客們完全可以將同一個網址更改至另外一個托管供應商,或只須花幾分鍾時間,釣魚網站就可恢複運作。
他說,黑客們爲了讓網站看起來更真實,甚至還會申請SSL(Secure Sockets Layer)憑證,就是網址前會出現密鑰圖標,但實際上任何人都可以在網上免費申請SSL憑證,不能以此來作爲判斷是否是釣魚網站的依據。
專家:應將多方查證應用到生活
爲防止受騙,公衆接到網絡或社交平台的指示或邀約時,應先多方查證才回應。
《聯合早報》記者在爲本篇報道采訪時,通過業內人士拿到了網安專家廖金福的聯絡,並通過WhatsApp聯系他,在表明身份後也向廖金福提出約訪邀請。
對方在收到邀約後,首先確認了記者是通過業內好友獲取他號碼的方式,過後進一步詢問記者的姓名和就職部門,記者同時也將自己的名片照片發送過去。不久後,廖金福發來了記者的LinkedIn截圖,並向記者確認,雙方添加好友。在後續的電訪中,廖金福也要求通過視訊進一步驗證記者的身份,並在首次訪問結束後,約時間面談。上述便是一個“多重認證”(multi-factors authentication)的生活實例。
廖金福指出,犯罪團夥在施展騙術時早已牢牢掌握了受害者的心理盲點,讓他們輕易陷入騙局。像此前的銀行詐騙短信案件,詐騙團夥精准掌握客戶平時的行爲習慣,即不少客戶會關注銀行平台發送來的通知短信,並且潛意識裏認爲這些短息內容是可靠的,因此不加防範地點開短信中提供的鏈接。“爲了避免受騙,公衆應該具有多重認證的意識,將它應用到實際生活中。”
同時,本地的生活、工作節奏快,公衆有“怕輸心態”,加上人們都具備掌握信息科技的一定能力,當收到來自政府或當局的電郵、短信時,自然會想要立刻采取行動了解情況。詐騙團夥也明白公衆的這種心態,布下了圈套。
另外,疫情當下,政府推出的一系列經濟援助措施,加上准備調整消費稅的政策,一些公衆會抱著等待福利、優惠等占便宜心態。
另一白帽黑客方紹宇說:“如果一件事情好到讓你難以置信,那麽就相信自己的直覺別想了,那可能就是假的,千萬謹慎處理。”