【大紀元10月13日訊】〔自由時報記者黃敦硯╱台北報導〕大學肄業的男子黃伯晏,利用「網路釣魚」的變種手法「網路豬籠草」,涉嫌架設虛假的中國信託商業銀行與中華商業銀行官方網站,以魚目混珠的方式,誘騙兩家網路銀行的客戶點選,從而套取其帳號、密碼,將被害人存款轉至人頭帳戶,再至ATM將錢提領出來,刑事警察局偵九隊二組前往搜索,並將全案函送高雄地檢署偵辦。
據悉,當警方進入屋內搜索,嫌犯黃伯晏因以假名字假信用卡號與假網址與人頭帳戶犯案,而自認天衣無縫,但警方在屋內搜索時,找到一張寫有「中華商業銀行網路銀行」的小紙條,這個訊息剛好是他架設的假網站名稱,黃嫌見狀,只能俯首認罪。
警訊中,黃伯晏向警方供稱所盜領的現金僅約數萬元之譜,但警方初計,黃嫌從今年初以此手法,至少已取得兩家銀行共約六百筆的帳號、密碼,警方將進一步清查被害人損失金額。
警方發現,電腦駭客黃伯晏雖非資訊相關科系,學歷也不高,但卻自己在家研讀駭客書籍並上網向國內外駭客討教,以學習駭客入侵知識,他因發現國內現今網址註冊審核認證不嚴的漏洞,便以架設假銀行網站方式犯案。
據了解,黃嫌是先挑選中國信託商業銀行與中華商業銀行為目標,涉嫌冒充這兩家銀行名義,在PC home的搜尋引擎登錄相似的網址,如原來的銀行官方網站網址為www.xxxtrust.com.tw,黃嫌就架設www.xxx-trust.com.tw的網站,魚目混珠。
一旦有網友利用PC home的搜尋引擎欲尋找這兩家銀行,黃嫌所設的假網站便會在列,例如雖正牌的中國信託商業銀行會出現,但冒牌的「中國信託網路銀行」、「中國信託個人網路銀行」也會出現,而正牌的「中華商業銀行」,也會伴有假冒的「中華商業銀行網路銀行」,網友一看名稱相似,便可能會誤選到黃嫌架設的假網站。
不知情的客戶連上假網站後,為了轉帳或查詢相關資料,會鍵入網路銀行的帳號、密碼,殊不知,這一個動作,機密資料便遭側錄回傳到黃嫌電腦中,而黃嫌設定一取得帳號、密碼後假網頁便會回切到真的銀行官方網站首頁,故被害人僅會誤以為是銀行為確認而要求再次輸入資料,並不會料想到資料已遭駭客竊取。
——————————————————————————–
多次遭人冒用 皆報警處理
〔記者李靚慧、呂清郎╱台北報導〕被詐騙集團冒名設置假網頁的中國信託商銀指出,該行雖然沒有定期、專人進行網路監控,但一旦發現有不法人士設置假網頁騙取民眾資料,就會立刻報警處理。中華商銀則強調,該行針對網站的訊息與交易安全問題,一直進行持續性的監控,過去資訊部門就曾多次發現遭到未授權引用或冒用。發現未授權使用的情況,立即要求對方停止使用,遭冒用則向警察單位檢舉。
中國信託商銀指出,該行已得知出現被冒名的情形,不過,並沒有客戶前來申訴受騙,由於暫時仍無法取得受騙客戶的資料,該行無法比對是否有客戶上當。
中信銀指出,如果是搜尋軟體可尋獲的網頁,銀行還有主動發現的可能,但目前最大的問題,是許多詐騙集團採取寄發電子郵件的方式,引誘民眾點選進入假的網頁,進而騙取民眾的資料,銀行對此極難防範。
不過,無法防範不代表銀行就坐以待斃,銀行業者指出,過去為了防止木馬程式竊取客戶的密碼,已有多家銀行針對網路銀行,要求民眾輸入個人密碼時,不再使用鍵盤輸入,而改用以滑鼠點選「虛擬鍵盤」。此外,銀行業者也不時在銀行官方網站中,呼籲民眾在輸入個人資料前,必須再三的小心確認。
中華商銀也建議民眾,要確定所連結的網站是銀行所設,不是詐騙集團冒名設置的網站,可先連結銀行公會網站,查詢各銀行的確實網址,或先透過服務專線電話,向銀行查詢網址後再上網,以免受騙上當。
——————————————————————————–
少用搜尋引擎 避開豬籠草
記者黃敦硯╱特稿
豬籠草是一種食蟲植物,在捲鬚的頂端有一個捕蟲囊,囊蓋經常打開,而囊蓋的內壁,有很多蜜腺,具有引誘昆蟲的作用,一旦如螞蟻或蒼蠅、蚊子等小昆蟲掉入囊內,便會遭消化死亡。
刑事警察局偵九隊二組查獲的電腦駭客黃伯晏,所用的就是「網路豬籠草」的手法,在網路上架設假的銀行網站,讓網友們一不小心就掉入陷阱,設在網路銀行的帳號、密碼遭竊取,存款就可能如同誤入豬籠草的小昆蟲遭到吞噬。
網路上各種訊息虛虛實實,現在竟然連銀行的官方網站也遭到冒充,網友若想要躲開網路豬籠草的諸多陷阱,最好的方式,還是將時常會上網瀏覽的網站,設成「我的最愛」,直接點選,而不要使用搜尋引擎搜尋,以免一不小心就「誤踩地雷」,成為豬籠草的獵物還不自知。
近來,網路銀行盜領案件層出不窮,香港警方日前就破獲一個以假網站盜取匯豐客戶存款的犯罪集團,被害人戶頭裡的十五萬港幣存款(約合台幣六十五萬元),遭盜領一空,顯示這類情形的嚴重性。
事實上,在類似竊取網路銀行帳號、密碼案件中,駭客所用的手法,大多是「網路釣魚」,駭客會寄發廣告電子信件,詐騙網友點選,再騙取相關機密資料,網路豬籠草就是網路釣魚的變種手法,利用網站名稱相似之便,藉機竊走帳號、密碼。
銀行網址是詐騙、取信被害人的重要依據,雖然網頁內容可以造假,但網址卻需要向網路服務公司申請登記,且需經過審核後才能付費使用。
警方透露,嫌犯就是意外發現民間代理註冊網址的網路公司,對於網址申請的審核並不嚴謹,他才能冒充被害銀行的名義成功申請網址,進而以魚目混珠方式,使網友透過搜尋引擎而誤入陷阱,相關單位在審核網址時應更加仔細才對。
