说起网络钓鱼(Phishing)大家应该都不陌生。或多或少都应该知道有这么一回事,遇到过的朋友应该也不少。其实看看我们的Email收件箱和垃圾邮件里面都会存在过陌生的未知邮件,想必不少朋友都有一些警觉意识而没有打开,或者有些人的疏忽或者好奇心点开以后成为了受害者。
Verizon 在2019年出了一份报告,32%的数据欺诈来自于网络钓鱼(Phishing),90% 确认的网络钓鱼邮件是在Secure Email Gateways (SEGs). 看来网络钓鱼是目前网络安全里面需要引起每一个人的重视。
在这些网络犯罪发出的Email里面最主要是想获取个人或者团体的隐私信息,比如生日,电话号码,地址,信用卡号码,密码等等。他们会利用这些信息进行欺诈行为而最终受害者是信息提供者。
通常情况下很多人都是在网络购物以后收到欺诈邮件,比如在亚马逊或者Ebay上注册个人信息后付款购买了一些物品,交易的同时会提供最起码的真实的地址和信用卡信息,这里面还会涉及到用Paypal时使用的email地址。
仅仅一个简单的购物,用户的名字,email,地址,付款信息就全部提供出来,而接下来收到的phishing邮件很有可能就是第三方为了“确认”收货人信息而发出的信息,比如“确认地址”, “信用卡信息不全面,请重新提供信用卡资料” “更新密码”等等。类似的邮件基本上都是创造一种“收件人可能无法收到以购买物品”的假象或迫切性来暂时麻痹用户。除了网络购物以外,大多数情况会收到冒充政府部门或者其它机构的邮件来引起用户的重视。
目前最普遍的是信用卡诈骗或者说信用卡被盗刷吧!平常生活中不管是Credit Card还是Debit Card都可以用来网络购物,那么可信赖的网站购物通常还是比较安全的,只是大多数人去外海旅行或者在网络安全性不强的网站购物以后可能就泄露了信用卡信息从而成为受害人。
记得在银行工作时处理了很多dispute transaction/fraudulent activities。有些客人在每个月还款时感觉应还款的金额和所消费金额好像不符合,检查账单以后发现有问题,所以到银行申请赔款。好就好在本地所有的银行都可以赔付被盗刷金额,这也体现本地银行对客人资金的负责任同时也是发卡方的义务来保护客人资金的安全。只要不是客人本身initiated这个transaction基本上都可以得到赔付,有效期是120天之内。不过有一个特别需要注意的是,目前很多fraudulent activities的金额很小,比如$4.99 per week/month 让客人很难发觉 (毕竟不是每一个人每个月都会仔细核对信用卡账单的每一笔交易),看来网络犯罪也懂得如何避免被发现。信用卡虽然提供了生活的方便,同时也带来了相关的风险。所以劝各位申请和使用信用卡时要注意额度和使用环境。
记得有一次,分行经理专门说只要有6 pieces information 客人就可以通过电话客服转账。这其中包括 姓名,银行账号,密码,生日,地址,开户行,登录名,电话号码,电子邮件,关联账号,信用卡信息其中任何6条。所以当你不注意在任何场合提供其中的任何个人信息都有可能被人故意收集。所以,方便的同时也有风险同存。
目前银行方面有专门的网络部门来防御和抵挡网络欺诈攻击,并且法律的监管也迫使银行承担责任来保障客户利益。那么现在华人用的比较多的是微信转账,微信的支付功能的确很方便但是没有法律约束和理赔责任,所以这个支付手段也成为网络钓鱼的工具之一。
冒名某金融公司微信钓鱼事件:
Case 1:
人物:客户A,嫌疑人,留言者B
地点:奥克兰,微信交易
事件:客户A是在校大学生,由于挂科,无法申请学生贷款。客户A就通过百度贴吧,发帖寻求帮助,发帖大致内容是:在这种情况下,如何申请学生贷款,是否有人有类似经验。之后,就有人留言,说有类似的经验,客户A就加了这个留言者B的微信。通过微信,留言者B给客户A推荐了嫌疑人的微信号,并且声称之前就是中间人帮留言者B在挂科的情况下成功申请了学生贷款。之后客户A就加了嫌疑人的微信,嫌疑人的微信是用某金融公司的标识头像,并且微信号也和客服号极其类似,嫌疑人这个微信号也会定期转发换汇信息。由于客户之前就接触过该客服,也去网上搜过公司的信息,就十分相信嫌疑人,并且转RMBxxx给嫌疑人让帮忙申请学生贷款。由于嫌疑人还能准确知道客人的学业情况…….再次向客人索要一笔大的款项……
Case2:有嫌疑人冒用某金融公司的名义,要客人进行线上换汇,可以换人民币到个人账户、微信或者支付宝。还给客人提供了该金融公司的地址(但是地址有细微差别)。嫌疑人还和客人说新西兰的银行账户是实名制的,安全稳定。嫌疑人提供了自己的账号,但是账户名用了该金融公司的名字……”!
不光是金融公司往往会躺着中枪,就是大的网络服务公司如Spark、Vodafone 或2Degree,也经常在网络钓鱼中被人冒用他们的名字。我们也接到很多情况反映,说明明给手机公司按月付了费用,但经常接到“他们的电话”说你的“手机费未付、请打回电话来确认你的帐号,否则会停止你的手机服务”等等。大家都担心自己的手机被停、往往这个时候最容易上当。因此最安全的办法,是跟你们的手机运营商联络。而不能盲目的相信接到的电话和短信。
网络给我们的生活带来了沟通的方便,网络支付也大大提高了我们的效率,但是并存的风险也是不可避免的。在此提醒各位朋友不要轻易披露个人信息 (您的个人隐私哪怕再小再普通,也不能无所谓!)即使披露也要披露给有隐私保护的机构,特别是关于财务方面。
最后想到网上以前流传的一句话:那些网络/电信诈骗犯可能比你自己还要了解你!
玮平 FJ Finance Ltd