新加坡“黑客”揭露内幕:肯定有熟悉金融行业的知情人士参与

最近新加坡的诈骗案频发,尤其是以银行钓鱼诈骗案最为轰动,引起了民众的关注。

「截至2021年12月30日,有469名华侨银行客户误信钓鱼短信,被不法分子掌控银行账户并盗走存款而报警,受骗总额达850万元。

开年以来,更多受骗的客户陆续报警,华侨银行也主动联系那些没有意识到自己受网络钓鱼骗局影响的客户,受害人数和损失金额因此都激增。据了解,个别客户损失的金额介于数千元到几十万元。」

导致人心惶惶的银行钓鱼短信骗案还未完结,扫QR码领优惠券、国内税务局官网领钱等犯罪又出现,真的是一波未平一波又起。

由于犯罪团伙在设计骗局时,专门针对本地人,环环相扣,经过精心布局,警方相信背后是具有一定商业模式的团伙在作案。

有人针对近期的几种钓鱼骗案,联系了两名专业的黑客,通过黑客视角,剖析犯罪团伙的行骗过程,让大家一探究竟。

犯罪团伙在设计骗局时,专门针对本地人,以获利作为最终目标。以银行钓鱼短信诈骗为例,当犯罪团伙设计脚本时,他们须邀请熟悉金融行业的知情人士,来熟悉银行工作流程、客户习惯等资料。

这就意味着,不排除此类骗案的参与者有离职的前银行职员,或是熟知行业模式的金融从业者。因为犯罪脚本需要“在地化”,因此犯罪团伙中必有本地成员,甚至部分是本地团队。

经过与知情人士、本地成员几轮沟通后,犯罪团伙已经能事无巨细地掌握业内流程,从中发现短信中的链接可以作为突破口,因此才设计了钓鱼短信诈骗。

而且相信他们是有组织有预谋的犯罪,分工明确。

“行动组”负责计划与执行各部门活动,包括获取受害者登录信息和密码等;

“技术组”负责网页寄存(web hosting)、购买域名、通过软件群发短信电邮等;

“营销组”须搜集线索建立受害者档案,大量购买手机号码等数据;

“金融组”负责准备第三方或是代收账户,通常是向负债累累的个人提供酬劳,让对方借出银行账户或申请新账户,或是从即将回国的外国人手中购买账户资料;

“网络安全组”则会使用伪造的身份信息来注册网络账户,利用VPN在行骗同时隐藏IP地址。

经过一番缜密的部署后,诈骗团伙坐等受害者落入骗局,获取相关信息,他们利用获取到的个人资料信息,可以在另一部手机上进行操作。

在银行钓鱼短信骗案中,不法分子就接管了受害人的银行账户,绑定新的联络号码,提高转款额度。诈骗团伙还会陆续在账户内添加多个收款人,将钱款逐一转出,也会时刻盯紧转款上限,避免触发银行的通知短信。

或者看准时间在凌晨时分进行转账,这样即便有通知短信发送,受害者可能因在睡梦中而错失举报的最佳时机,睡醒发现时已晚。

当钱财到手后,不法分子可能通过第三方账户从自动取款机取走现金,当然已经进行一定的伪装,避免镜头捕捉到对方的脸。

不法分子也可能直接通过快速海外汇款服务转移资金,购买加密货币,或是直接用于购买一些昂贵物品。

那么问题就来了,这些假网站是怎么做出来的,为什么受害者不曾生疑?

复制网站只需一分钟。

制作钓鱼网站技术本身不复杂,甚至只需一分钟就能复制出假网站。

犯罪团伙十分善用公开的网络资源,轻而易举便可以制作出钓鱼网站。比如,黑客只需打开任何网站的页面,后台复制网站编码,一分钟内就克隆出一个以假乱真的钓鱼网站页面。

即使网站页面中一些图片、影像资料需做调整,对于黑客也不是难事,最多花上半个小时就能修改好。

黑客只须具备最基础的编码知识,便可以在钓鱼网站上创建一个后端窗口,或是转发程序,坐等受害人上当,轻松获取他们的个人银行资料。

制作好网站页面后,黑客便会上网购买与官网网站相似的域名,这些网址可能与真正官网只有一个字符之差。以方绍宇提供的其中一个购买网站为例,记者只须输入自己想要购买的网站网址,网站立刻显示出该网址是否可以购买以及价格,下方更会出现一系列类似的网站地址供顾客一并购买,而这些网址的价格每年只需7美元(约9.5新元)到10多美元不等。

值得注意的是,这些黑客在注册或购买网站时,他们都会掩饰真实身份,通常姓名、注册信息都是伪造的,用于付款的借记卡也是一次性的,在某些情况下,他们甚至会使用加密货币来付款,来防止被追查。

当然,犯罪分子可能一次过购买多个网址,同时拥有多个可用的网站网址,也提前做好备份,一旦其中一个钓鱼网站被当局取缔后,不法分子立刻可以激活其他钓鱼网站继续行骗。

因为这些网站的供应商可能来自不同国家和地区,申请取缔网站的时间和规定也会不同。

除更换网址外,若钓鱼网站被取缔,黑客们完全可以将同一个网址更改至另外一个托管供应商,或只须花几分钟时间,钓鱼网站就可恢复运作。

他说,黑客们为了让网站看起来更真实,甚至还会申请SSL(Secure Sockets Layer)凭证,就是网址前会出现密钥图标,但实际上任何人都可以在网上免费申请SSL凭证,不能以此来作为判断是否是钓鱼网站的依据。

警方提醒公众,为防止受骗,接到网络或社交平台的指示或邀约时,应先多方查证才回应。

不少客户会关注银行平台发送来的通知短信,并且潜意识里认为这些短息内容是可靠的,因此不加防范地点开短信中提供的链接。为了避免受骗,公众应该具有多重认证的意识,将它应用到实际生活中。

「“如果一件事情好到让你难以置信,那么就相信自己的直觉别想了,那可能就是假的,千万谨慎处理。”」

用戶評論