“钓鱼”短信成风 多家银行发公告警示打假

“尊敬的用户，您的手机银行于×月×日下午×点×分停用，请前往××网址解除停用……”手机里收到这样一条短信，你会直接点开网址，还是先向银行方面验证真实性？3月9日北京商报记者注意到，就是这样一条平常无奇的短信，已经让不少银行用户掉入了网络诈骗的陷阱。

最新发布风险预警的是郑州银行，3月9日，该行通过微信公众号向用户发布风险提示称，近期有不法分子利用陌生号码向社会公众发布虚假信息，在短信中发送伪装成该行链接的钓鱼网站地址，涉嫌电信网络诈骗。从郑州银行发布的预警信息来看，不法分子主要通过电子邮件窃取个人用户信息，先伪造一条手机银行停用的信息，并将用户导流至虚假钓鱼网站。

钓鱼网站基本来自于境外，且动态更换银行名称，从多家银行发布的风险预警中可以看到，钓鱼网站所使用的“鱼钩”也五花八门，一部分声称农信社存档将马上过期，另一部分则声称手机银行将马上失效，更有甚者将动态令牌过期、ETC设备被禁用也列入“鱼钩”范围。

具体来看，这些钓鱼网站惯用的套路是：通过群发短信方式，以虚假贷款申请、手机银行失效或身份证过期为由诱骗用户点击假冒网页链接，并引导用户填写账号、手机号、登录密码、短信验证码、交易密码等信息，不法分子在用户操作完成后故意将系统页面处于等待状态，在此期间利用其他手机或电脑终端，冒用用户身份登录用户手机银行或网上银行进行转账操作，完成资金盗取。

而此次大规模钓鱼攻击，攻击者不仅仅可以获取受害人的敏感信息，还可以冒用受害人身份登录其手机银行系统进行转账操作或者绑定第三方支付渠道进行资金盗取。

但银行通常并不会以“手机银行失效”“网银证书失效”“银行卡作废”“身份证过期”“登录密码失效”等为由给用户发送内嵌网址链接的短信、微信或邮件。北京商报记者注意到，不少银行在提示之余，还将下辖总行营业部、各分支行营业网点地址和联系电话一并发布在公告中，方便用户查找沟通。

一位数据行业观察人士向记者介绍称，多数的网钓方法就是用电子邮件中的链接，利用网址将用户带到“银行”网站的“示例”子网域，看似是合法的，实际上链接会导引到网钓攻击站点。

郑州银行之前，包括华夏银行、众邦银行、广西金秀农商行、延寿融兴村镇银行、耒阳融兴村镇银行、会宁会师村镇银行、塔城农商行、昆仑银行、确山郑银村镇银行等在内的多家银行纷纷通过官方微信等方式向用户推送风险提示，对冒充银行短信的新型诈骗手法进行预警。

光大银行金融市场部分析师周茂华在接受北京商报记者采访时分析认为，国内金融线上业务发展迅速，但国内信息保护与技术安全仍需要提升，少数用户个人信息安全与防范钓鱼网站的警惕意识不够，同时国内监管制度与法律有待完善。

看懂研究院研究员卜振兴指出，从历史情况来看，银行遭受的钓鱼攻击并没有明显的时间规律，可能主要还是由供给网站的设计决定的。年初不仅是各行各业的开门红，也是网络攻击的发力时间段。

在网络钓鱼骗局中生存的最佳策略是首先远离“鱼钩”，在风险预警中，各家银行均根据自身情况对用户做出了提醒。“不要轻信陌生邮件、短信、电话等方式通知的有关网银过期、系统升级、安全认证工具升级和修改密码等内容。”华夏银行提醒称。众邦银行则强调用户要及时更新移动终端杀毒软件，关注移动终端信息安全，不要访问来历不明的网站，并请留意地址栏域名的变化。

至于用户该如何避免被网络钓鱼，卜振兴提醒称，不要点击不熟悉的链接，一定要访问正规官方网站，不要随意透露登录密码等敏感信息。遇到关于过期、升级等信息，一定要拨打官方电话进行咨询，不要贸然操作。

周茂华则进一步指出，对于不明来历的广告、链接、图片等需要保持警惕，尽量避免超链接登录网上银行、购物网站、第三方支付平台等与业务、资金密切相关的服务网站。国内需要加快完善相关法律制度，提升相关违法行为的侦查、监管能力，加大惩处力度。

而对春节以来假冒银行短信钓鱼诈骗事件，监管也迅速做出反应，山东银保监局在3月5日发布公告称，近期，监测发现辖区出现针对城商行、农商行等中小银行机构客户的短信钓鱼诈骗风险事件，山东银保监局高度重视，立即采取措施果断处置。第一时间联系国家互联网应急中心、网络运营商对钓鱼网站的域名和IP地址进行封禁，向公安机关报案，并报告公安刑侦部门。同时，指导省联社、城商行联盟采取技术手段加强安全策略，紧急调整手机银行、网上银行渠道交易规则，提高业务验证级别和系统防诈能力。

北京商报记者孟凡霞宋亦桐