网银支付的陷阱与防范策略
添加时间:2017-09-26
截至 2016 年 6 月,我国网民使用网上支付的比例提升至64.1%.网银支付相比现金支付更加灵活、快捷的特点,逐渐成为最受大众欢迎的支付方式。随着网络技术的高速发展和网银业务的普及应用,不法分子的诈骗手段也越来越高明,严重威胁着用户的财产安全。因此,保护网上交易和个人信息的安全性变得日益重要。
1 网银支付的概述。
1.1 网银支付的简介。
网银支付是一种利用绑定网上银行账号实现资金即时交易的支付方式。随着时代的变革,电子银行已不能满足人们的需求,移动支付渐渐普及开来。2003 年 10 月,支付宝走上历史舞台,是网上支付方式变革的一座里程碑。
1.2 网银支付的原理。
银行为个人用户提供支付结算服务的方式是通过与 B2C 电子商务平台供应商合作,其目的是为全面解决网银支付的诚信与安全问题。用户在开通网上银行后,将银行卡绑定在第三方平台的个人账户上,并开通快捷支付,在付款时只需要输入验证码或快捷支付密码即可进行在线支付,而不需要以往每次交易时都输入银行卡号进行资金结算。
2 网银支付的风险分析。
移动终端的普及,使不法分子可以利用系统漏洞和隐患进行网络犯罪,但用户自身的安全意识缺失也是网银支付中比较重要的风险因素。
2.1 网络钓鱼。
网络钓鱼一般是针对人们的心理弱点,打着中奖或是声称不立即操作会产生严重影响的幌子,诱使用户上当受骗。这种低成本、操作简单的方式,被很多不法分子所用。常见的方式包括:
(1)授权支付。
“授权支付”是一种普遍的高危网络欺诈方式,不法分子通过提供虚假钓鱼链接、付款失败随后给予客服咨询帮助等服务,诱骗受害者进行“网银授权支付”,使自己可以对受害者的网银账户进行资金操作,就可以在短时间内将受害者账户中的资金迅速转出,造成严重的财产损失。
案例 1:2015 年 5 月,安徽省阜阳市发生的一起金额巨大的授权诈骗案件中,陈女士在网购时,店主以预付定金为由给陈女士发送了一个“代付链接”.陈女士支付后发现无法查到交易记录,店主解释由于频繁操作导致系统异常,并告知陈女士立即与订单处理中心的客服进行联系。“客服”表示可以通过网上“签约授权”为她恢复之前操作的订单,并提供了链接。陈女士看到链接的网站是银行官网,便输入了自己的银行账号和密码,结果 24秒内账户里的钱就被转走了。
(2)未知链接。
利用短信、微信、邮箱等发送带有虚假链接进行诈骗的方式也较为普遍。不法分子利用 URL 编码原理,事先建立一个与真实网站域名十分相似的虚假网站,假借购物网站、银行官网之名,通过邮件、群发短信、微信、互联网界面弹出等形式发送链接,根据人们占便宜的心理,诱导用户点击链接并进入虚假网站,以远程遥控的方式指导用户进行相关操作,以达到骗取钱财的目的。
(3)短信验证码。
不法分子根据用户爱占小便宜的心理,群发积分兑换现金、办理业务等手机短信,通过虚假网站诱骗用户在网页的表格里填写个人身份信息和银行账户信息;然后,不法分子会立即在后台利用获取的信息进入银行官网的个人账户中申请转账;随后,不法分子再次发送短信要求用户填写验证码,并利用骗取的验证码实施转账操作,从而顺利骗取钱财。
案例 2:2016 年上半年,很多手机用户收到一条假冒中国移动客服发送的短信:“您已成功订购中国移动无线业务,标准资费 100 元/月。如需退订请编辑短信‘HK0E11005****113’到10086.”表面上看这是引导手机用户编辑短信退订业务,但实际上是申请换卡的短信。如果用户按要求发送了该短信,就会向中国移动申请换卡,如果在随后的确认短信时选择了确认,则用户手中的这张 SIM 卡将被注销。不法分子一旦获得用户的新手机卡,可采用“发送手机验证码”的方式找回密码,任意修改任何绑定该手机号码的网络账号,随意盗刷绑定的银行卡。
(4)公用 WiFi.
不法分子通过架设一个免费的、与某个公共 WiFi 热点同名的 WiFi 网络,利用用户蹭网的心理,在公共场所进行网络钓鱼。
当用户的无线设备连接该 WiFi 后,不法分子的设备会对其进行自动扫描,窃取用户移动终端中的信息,包括通讯录、短信、微信、关联的各种账户名和密码,从而实现网银盗刷。
2.2 网络木马。
(1)网页挂马。
不法分子通过嗅探和扫描,发现漏洞后修改配置提高自身权限,将事先编写好的木马程序编辑在网页文件中,从而达到篡改网页的目的。当用户浏览网页时,浏览器会自动下载网页的木马文件,完成配置并激活木马程序,进而窃取用户的敏感信息。网页挂马通常是与网络钓鱼相结合,通过骗取用户的信任,诱导用户登录挂马网站,获取用户信息,从而获取利益。
案例 3:2015 年 11 月,大连市中山分局网安大队民警抓获冒充银行和电信运营商客服号码、利用伪基站发送“积分兑换”诈骗短信的犯罪嫌疑人王某,据王某交代:他先在网上注册并搭建仿冒银行或电信运营商的“钓鱼网站”,并植入木马病毒,后携带“伪基站”设备在人员密集区域流窜,向周围群众发送积分兑换奖品的诈骗短信。用户收到诈骗短信后,受骗点击导致手机感染木马病毒。即便网上支付时需要输入支付密码或动态验证码,不法分子通过拦截手机短信的验证码,就可以完成网银盗刷、转出支付宝或银行卡中余额的操作。
(2)微信木马。
随着智能手机的普及,微信成为继 QQ、博客、微博之后人们交流的重要媒介。而有些不法分子将木马病毒植入虚假红包中,伪装成普通红包发送出去。当用户打开红包后,显示的页面与正常的页面并没有太大的区别,但此时不法分子就可以利用在红包中植入的木马软件盗取用户的银行账户和密码了。还有些不法分子将木马病毒隐藏在微信二维码中,一旦用户进行扫描,就可以窃取手机用户的内部信息。
2.3 非法利用个人信息。
由于黑客技术的不断提高,网银用户的个人信息极易被获取并用于非法途径,给用户带来很大的安全隐患。有些网站将用户注册时填写的身份证号、住址、手机号等个人信息出售给不法分子谋取利益;有的不良商家用“一元包邮”做噱头,然后声称缺货再退款,而实际上是为了套取用户个人信息。这些数据量巨大的个人信息被整理成一个完整庞大的信息库,覆盖姓名、身份证号、家庭住址、车牌号、医保号甚至保险信息等,并在网络黑市中售卖,形成了一条从产到销的隐秘链条。
而一旦获取了用户的个人信息,不法分子就能在诈骗电话、短信中直呼用户姓名、准确说出身份证号码等个人隐私,骗取用户信任,或通过办假证件冒充用户进行资金流转等。
案例 4:2015 年 11 月,李女士发现银行账户少了三万块钱,询问银行得知是通过网上银行转出的,并且自己的手机有一段时间没有信号。这是犯罪嫌疑人通过伪造的李女士身份证件补办了一张手机卡,又通过手机验证码找回了支付宝账号的密码,将绑定的银行卡中的资金转出。事后发现,假身份证上的个人信息如姓名、身份证号、地址等都是正确的,这就说明有不法分子窃取了李女士的个人信息并在网上贩卖。警方随后在犯罪嫌疑人的家中发现了数百张假的身份证,并在犯罪嫌疑人的电脑桌面上找到了一份列有几百份包括姓名、地址、手机号码、身份证号、银行卡号等个人信息的名单。
3 网银支付诈骗的防范策略。
由于网银支付诈骗对个人信息及财产安全造成的后果十分严重,所以采取必要的防范措施就显得十分重要。
3.1 提高安全防范意识。
网银诈骗大多是因为用户贪小便宜或是疏忽大意而让不法分子得手的。因此,应注意以下几点:
(1)不要轻易点击安全性未知的链接。用户当收到交易异常、网购退款、积分兑换等一些迷惑性信息的链接时应提高警惕。
面对弹出的不明链接或网址,不要轻易点击进入,更不可轻易下载可疑软件;不要在这些不安全的网站中输入自己的个人信息,例如手机号码、身份证件号码、银行账号密码等。
(2)不要轻易进行网上银行授权支付操作。网上交易时,应该仔细分辨、核对网址,检查是否是真实的网站;不要轻易点击卖家发送的链接或是根据卖家提示进行草率操作;应当通过官方渠道联系网购平台的客服,而不要与店家发来的客服沟通相关事宜;购物平台不会出现商家所说的系统延迟、冻结订单等说法,这些都是不法分子诱导用户进行授权支付的借口。
(3)不能随意透漏短信验证码。智能手机的普及,让不法分子乘虚而入,通过各种方式骗取持卡人短信验证码并完成欺诈。这就需要用户在收到需要回复验证码的短信时进行分析辨别,同时不要将验证码告诉给任何人。
(4)谨慎连接公用 WiFi.建议在公共场合优先使用手机流量上网,在必须连接公用 WiFi 的情况下,应先确认是否为安全的网络环境;对于不用任何密码即可连接的公用 WiFi,更要警惕,尽可能不要连接;连接公共 WiFi 时,避免进行网上支付等交易,避免输入身份证件号码、手机号码、银行账户密码等个人信息。
(5)保护好自己的个人信息。不轻易向他人泄露身份证号、手机号码、银行账号和手机验证码等相关信息;采用大小写字母、数字、符号等较复杂的组合密码;尽量不在多个平台或网站中使用同一组用户名和密码,避免不法分子通过撞库等方式,获取更多的有效信息,再有针对性地对用户进行诈骗;设置网银账户单日最高转账限额,有效避免一次性损失较高的数额。
此外,要通过官方下载的软件或手机 APP 进行网银操作;遇到不明短信或电话时,可通过拨打银行客服电话咨询、到柜面咨询等,不要相信任何关于调整客户账户的诈骗信息和诈骗电话,切记不要进行任何账户的转帐操作,切实提高网银用户的风险防范意识。
3.2 提高各电商交易平台系统的安全性。
为实现对网银用户隐私信息和交易安全的保护,各电商平台应该对以下几点进行优化:
(1)对网络系统及时进行升级。有必要定时检测并修复平台系统漏洞,及时更新系统,构建安全围墙以阻止黑客的入侵,进一步提高网络交易环境的安全性。
(2)安装入侵检测系统。若当前状态与系统设计者设置的常态的偏差到达一定阙值的时候,就会发出警告,并采用相应的应急预案。
(3)采用数字加密技术。对交易信息进行数字加密,防止中途截取,或对信息进行篡改、删除、泄露、破坏等行为,也可以防止非管理人员对信息进行分析而损害信息终端的使用者。
4 结论。
通过对常见网银支付中存在的诈骗手段进行分析,能够让用户认识到其方式和危害以及防范的必要性。虽然网络诈骗形式花样繁多,但更多的是利用了人们占小便宜的心理,因此在进行网银支付时应当时刻提高警惕。