美国每年有300万人因此蒙受经济损失
据市场研究机构嘉纳公司(Gartner Inc.)统计,仅去年一年,美国就有300万人因ATM机泄漏信息、银行借记卡诈骗而蒙受巨额损失,总金额高达27.5亿美元,平均每起案件金额约为900美元。
嘉纳公司是全球领先信息科技业界研究及分析机构,据该机构本周二公布的一份报告显示,由于银行借记卡的磁条在经ATM机扫描时缺少一个重要步骤——未扫描安全校验码,因此存在许多安全隐患,容易泄漏信息,让犯罪分子有机可乘,导致用户蒙受损失。
国际商用机器公司(IBM)的服务部门周二也出台报告指出,近来涉嫌银行卡诈骗的网络攻击越来越多,包括“网络钓鱼(Phishing)”、秘密安装恶意的按键侧录(key stroke logging)程序等(按键侧录程序会使用户在使用电脑的同时向外发送报告,所有操作一览无遗)。
嘉纳的分析师Avivah Litan认为,犯罪分子最常用的一种手段是叫“网络钓鱼”,这是一种网络诈骗手段,算不上新鲜事物,而且没有太多技术含量,主要是利用人们的心理来实现诈骗。犯罪分子通常会给用户发送一封看似合法的电子邮件,然后提供链接,登陆到假冒的银行网站,同时要求对方提供银行账号和密码。在得到这些信息后,犯罪分子就可以通过自制的银行卡到ATM机上提款。
有专家解读上述犯罪行为后表示,这种情况其实完全可以避免。银行卡磁条上包含有许多信息,包括用户的姓名和账号、安全校验码等,而用户本人并不知道自己的安全校验码,犯罪分子通过“网络钓鱼”更是无从得知。
令人感到惊讶的是,约有一半美国金融机构的ATM系统并不检测安全校验码,也就是说,银行卡的磁条并没有充分利用。Litan表示,造成这种现象的部分原因是,许多银行并不知道这其中存在的安全隐患,以及将会带来的后果。还有另一种可能是,部分银行一开始可能是检测该校验码的,但随后由于操作麻烦而中止。因为如果启动安全校验码,那么用户每次修改密码都需到银行柜台办理相关手续。然而专家观点认为,银行在业务正常运行的情况下放松警惕,导致此类诈骗案发生,应该属于“失职”范畴。
当然有的用户卡密码位数过少也给犯罪分子以可乘之机。现在,“黑客”们可以通过一些网络程序如brute force,很容易破解密码。因此,有专家建议银行新发行的银行卡的密码位数尽量延长。
据IBM的网络监控统计,今年上半年,在美国的犯罪分子为获得商业金融数据发送的电子邮件数目高达3500万封,而且犯罪分子所使用的手法也越来越隐蔽。尽管在安全技术人员眼里,对付“网络钓鱼”不过是小菜一碟。但在近几年,“网络钓鱼”活动猖獗,相关的犯罪量急剧攀升。
同时这股邪风也渐渐影响到中国,近期中国境内也频频出现利用假的“中国银行”、“中国工商银行”主页网站进行诈骗的违法事件。(n101)
