遭“钓鱼”欺诈短信围攻 多家银行密集发布风险警示“打假”

“尊敬的用户，您的手机银行于X月X号下午X点X分停用，请前往XX网址解除停用......”手机里收到这样一条短信，你是会直接点开网址，还是先向银行方面验证真实性？3月9日，北京商报记者注意到，就是这样一条平平无奇的短信，已经让不少银行用户掉入了网络诈骗的陷阱，对此，包括郑州银行、华夏银行、众邦银行、广西金秀农商行、耒阳融兴村镇银行在内的多家银行近期密集发布风险提示，警示用户注意欺诈风险。

银行风险提示公告截图

多家银行遭短信“钓鱼”攻击

“钓鱼”是一种网络欺诈行为，是指不法分子利用各种手段，仿冒真实网站的地址以及页面内容，以此来骗取用户银行或信用卡账号、密码等私人资料。钓鱼网站通常伪装成为银行网站，窃取访问者提交的账号和密码信息，主要通过电子邮件传播，而此次银行集体“打假”就来源于“遭受短信钓鱼攻击”。

最新发布风险预警的是郑州银行，3月9日，该行通过微信公众号向用户发布风险提示称，近期有不法分子利用陌生号码向社会公众发布虚假信息，在短信中发送伪装成该行链接的钓鱼网站地址，涉嫌电信网络诈骗。从郑州银行发布的预警信息来看，不法分子主要通过电子邮件窃取个人用户信息，先伪造一条手机银行停用的信息，并将用户导流至虚假钓鱼网站。

无独有偶，近期，包括华夏银行 、众邦银行、广西金秀农商行、延寿融兴村镇银行、耒阳融兴村镇银行、会宁会师村镇银行、塔城农商行、昆仑银行、确山郑银村镇银行等在内的多家银行纷纷通过官方微信等方式向用户推送风险提示，对冒充银行短信的新型诈骗手法进行预警。

在风险警示中，不少银行不约而同均提到了“部分银行同业集中遭受短信钓鱼攻击”，（尤其以省联社、农村商业银行及城市商业银行突出）遭受钓鱼攻击猖獗。对此次银行密集“遭受短信钓鱼攻击”的原因，光大银行金融市场部分析师周茂华在接受北京商报记者采访时分析认为，国内金融线上业务发展迅速，但国内信息保护与技术安全仍需要提升，少数用户个人信息安全与防范钓鱼网站的警惕意识不够，同时国内监管制度与法律有待完善。

“鱼钩”五花八门

钓鱼网站基本来自于境外，且动态更换银行名称，从多家银行发布的风险预警中可以看到，钓鱼网站所使用的“鱼钩”也五花八门，一部分声称农信社存档将马上过期，另一部分则声称手机银行将马上失效，更有甚者将动态令牌过期、ETC设备被禁用也列入“鱼钩”范围。

在具体的操作流程上，这些钓鱼网站惯用的套路是：通过群发短信方式，以虚假贷款申请、手机银行失效或身份证过期为由诱骗用户点击假冒网页链接，并引导用户填写账号、手机号、登录密码、短信验证码、交易密码等信息，不法分子在用户操作完成后故意将系统页面处于等待状态，在此期间利用其他手机或电脑终端，冒用用户身份登录用户手机银行或网上银行进行转账操作，完成资金盗取。

一位数据行业观察人士向记者介绍称，多数的网钓方法就是用电子邮件中的链接，利用网址将用户带到“银行”网站的“示例”子网域，看似是合法的，实际上链接会导引到网钓攻击站点。

看懂研究员卜振兴指出，从历史情况来看，银行遭受的钓鱼攻击并没有明显的时间规律，可能主要还是和供给网站的设计决定的。年初不仅是各行各业的开门红，也成为了网络攻击的发力时间段。

而此次大规模钓鱼攻击，攻击者不仅仅可以获取受害人用户敏感信息，还可以冒用受害人身份登录其手机银行系统进行转账操作或者绑定第三方支付渠道进行资金盗取。

但银行通常并不会以“手机银行失效”“网银证书失效”“银行卡作废”“身份证过期”“登录密码失效”等为由给用户发送内嵌网址链接的短信、微信或邮件。北京商报记者注意到，不少银行在提示之余，还将下辖总行营业部、各分支行营业网点地址和联系电话一并发布在公告中，方便用户查找沟通。

行为侦查、惩处力度亟待强化

在网络钓鱼骗局中生存的最佳策略是首先远离“鱼钩”，在风险预警中，各家银行均根据自身情况对用户做出了提醒。

“不要轻信陌生邮件、短信、电话等方式通知的有关网银过期、系统升级、安全认证工具升级和修改密码等内容。”华夏银行提醒称。众邦银行则强调用户要及时更新移动终端杀毒软件，关注移动终端信息安全，不要访问来历不明的网站，并请留意地址栏域名的变化。

耒阳融兴村镇银行在公告中要求：“各网点要为用户提供此类问题的受理和解决渠道，一旦接报及时采取针对性保护措施，防止损失扩大；同时加强对受害用户的安抚，避免出现舆情和大规模用户投诉事件。”

用户该如何避免被网络钓鱼，成为“鱼儿”？卜振兴提醒称，不要点击不熟悉的链接，一定要访问正规官方网站，不要随意透露登录密码等敏感信息。遇到关于过期、升级等信息，一定要拨打官方电话进行咨询，不要贸然操作。周茂华进一步指出，对于不明来历的广告、链接、图片等需要保持警惕，尽量避免超链接登录网上银行、购物网站、第三方支付平台等与业务、资金密切相关的服务网站。国内需要加快完善相关法律制度，提升相关违法行为的侦查、监管能力，加大惩处力度。

而对春节以来“假冒”银行短信钓鱼诈骗事件，监管也迅速做出反应，山东银保监局在3月5日发布《山东银保监局妥善处置春节以来“假冒”银行短信钓鱼诈骗事件》公告表示，近期，监测发现辖区出现针对城商行、农商行等中小银行机构客户的短信钓鱼诈骗风险事件，山东银保监局高度重视，立即采取措施果断处置。第一时间联系国家互联网应急中心、网络运营商对钓鱼网站的域名和IP地址进行封禁，向公安机关报案，并报告公安刑侦部门。同时，指导省联社、城商行联盟采取技术手段加强安全策略，紧急调整手机银行、网上银行渠道交易规则，提高业务验证级别，提高系统防诈能力。