海归论坛 :: 阅读跟帖 - 呵呵，刚有个报道关于使用动态密码器被骗的，你参考参考，有助于你理解物理设备安全性稍高一些

会员列表
收藏夹
论坛帮助

论坛首页 | 排行榜 | 在线私聊 | 专题 | 版规 | 搜索 | RSS | 注册 | 活动日历


主题: 也来晒项目，怎样从天掉下一百万？

海归论坛首页 -> 海归商务焦点讨论 | 精华区 | 嘉宾沙龙 | 白领丽人沙龙

分屏

表形显示

阅读上一个主题 :: 阅读下一个主题

作者

也来晒项目，怎样从天掉下一百万？

所跟贴

也来晒项目，怎样从天掉下一百万？ -- 煎饼2点0 - (976 Byte) 2011-1-24 周一, 17:04 (3047 reads)

和煦的阳光

头衔: 海归上士
声望: 讲师

加入时间: 2005/04/05
文章: 1163

海归分: 1855

标题: 呵呵，刚有个报道关于使用动态密码器被骗的，你参考参考，有助于你理解物理设备安全性稍高一些 (702 reads) 时间: 2011-1-24 周一, 21:15

作者：和煦的阳光 在海归商务发贴, 来自【海归网】 http://www.haiguinet.com

另外，那天在银行碰到一位被吞卡没身份证的。银行请她试密码，对了就可以拿走，但她密码又试了2次也不对，还不是本人的卡，银行说这样没身份证没法给你。然后她就打了110，并不停地催警察快点。 Mr. Green

不过这个报道看来不准确，动态密码只能用一次，登陆和转账是两个操作，需要两个密码授权。估计骗子是机器人自动的，用户在钓鱼站第一次输入动态密码，网站反馈登陆失败请重试或登陆成功请再输入动态码确认升级（此时骗子机器人已登陆）；用户再次输入新动态码，骗子网站显示升级成功（此时骗子机器人用此码转账）。

现在中行给自动设了5000的限额，并提示用户开通免费手机短信通知登陆和确认操作。

https://finance.sina.com.cn/consume/puguangtai/20110124/07009299066.shtml

　　“尊敬的网银用户：您的中行E令即将过期，请您尽快登录www.bbocn.com/k进行升级，详询95566。”1月10日至今，省内不少网银用户收到这样一条提示短信。苏州唐先生恰好是中国银行(3.20,-0.01,-0.31%)的网银用户，他在家中电脑上登录升级，可当输入用户名、密码、动态口令后没几分钟，发现卡内的198万余元被分两笔转走——原来，唐先生中了新出现的“中行网银E令升级”诈骗。

　　昨日下午，省公安厅披露了这一“第四代”网银诈骗的最新情况，据不完全统计，自1月10日至今，省内发生100多起同类诈骗，市民损失少则数万，多的高达百万。据公安部反诈骗专家金大志介绍，这是目前境内发现的电信诈骗最新变种，已经出现全国性的发案。

　　中行E令升级100多万飞了

　　1月13日下午5点45分左右，南京市民许先生正准备下班，突然收到一条手机短信：“尊敬的网银用户，你的中行E令将于次日过期，请尽快登录WWW.BOCVK.COM。进行升级，给您带来不便请谅解，详询95566(中国银行)。”

　　巧的是，许先生正是中国银行的网上银行用户，而且，很多银行平时常发短信提示用户办理各项业务，所以，看到这条短信后，许先生虽然发现来自一个陌生手机，但他并没产生怀疑，在拨打中国银行95566客服电话、发现占线后，他顾不得多想，利用办公室电脑，根据短信提示登录所谓“中国银行”的网址 WWW.BOCVK.COM.。网页打开后，徐先生看到，显示的界面正是“中国银行”，他根据网页提示，输入自己的用户名、密码以及随机产生的中行E令 (动态口令)、身份证号等信息后，页面显示升级成功。看到这儿，他放心地退出界面，可没一会儿，当再次登录自己的中行网银账户时，许先生发现账户上的 101万元已被转走。

　　没过几天，同样的事情发生在苏州市民唐先生身上。他被骗的更多，有198万余元。而据反病毒公司网秦统计，“假银行”欺诈短信泛滥，单月用户举报量已经突破6000个。

　　骗子分三步骗走网银用户的钱

　　江苏警方接报后，立即对此类案件进行串并侦查，发现犯罪分子的作案手法如出一辙。省公安厅副厅长王琦介绍说，犯罪分子实施以“中行网银E令升级”为名的电信诈骗时，首先会群发短信，主要针对中行的网银用户群发，谎称当事人网银E令需要升级，诱导登录伪造的中国银行网页，套取银行卡号、交易密码及动态口令等，实施转账诈骗。

　　犯罪分子主要通过三个步骤完成诈骗。

　　第一步，群发手机短信。谎称受害人的中行E令即将过期，需要升级，并提供一个号称官方网站、实为钓鱼网站的链接。犯罪分子事先设置 www.bocqg.com等虚假的中国银行网站，俗称“钓鱼网站”，与正规的中国银行官网非常相似，而且，页面中大多数内容均能自动连接到中国银行的官网，犯罪分子只在页面上加入一个“登录中行网银E令升级”的栏目，诱使用户点击。

　　第二步，点击“钓鱼网站”。由于银行常对持卡用户发送短信，提示办理各项业务，因此，很多市民对短信提示升级的信息往往信以为真。一旦用户根据短信提示，登录到指定的网页并进行相关操作，“钓鱼网站”将通过早已设置的木马程序，盗取用户的用户名、密码以及动态口令。

　　第三步，盗取用户存款。犯罪分子用木马盗取了用户的用户名、密码以及动态口令后，会在极短时间内，把这些信息输入到正规的中国银行官网，将用户账户内的资金瞬间转走。由于此类诈骗手法新，只要用户网上“升级”操作，无需与犯罪分子进行任何形式的接触，账户内的所有资金就会在两分钟内被全部转走，因此，危害性较大。

　　原本的安保服务咋成了“钓鱼诱饵”？

　　记者了解到，中行E令，是由中国银行推出的一种硬件动态口令牌。它由内置电源、密码生成芯片和显示屏等组成，根据专门的计算法则，每隔60秒会自动更新一个动态口令，要求用户在60秒内输入，以保障网银操作安全。此次网银诈骗，绝大部分案例都以“中行E令”为幌子，这也引起了不少受骗用户的强烈不满。他们表示，“中行E令”本是银行提供的一种安全服务，现在反而被犯罪分子利用，银行方面对此也负有监管不力的责任。

　　此外，由于在木马钓鱼的作用下，犯罪分子能和用户的电脑实现同步，号称动态安保的“中行E令”此时已形同虚设，不少用户也在质疑这项服务的必要性。据了解，目前，国有商业银行中，只有中国银行大范围使用动态口令牌，工行、建行、农行、邮储银行等商业银行以与计算机硬件连接的U盾或K宝为主。省内发生的这100多起诈骗案，主要针对“中行E令”用户实施的。

　　对于这些质疑和不满，省公安厅有关负责人表示，现在市民使用的网银应该是安全的，因为迄今为止，还没发现利用网银的技术漏洞，攻破网银防护网实施诈骗的情况。如果真的出现这种情况，网银方面要承担责任。

　　而中行有关人士则强调，中行对个人网银账户的安全防范是获得国家有关部门认可的，是安全可靠的。诈骗发生，主要是用户登录假网站，被骗取密码和动态口令所致。如今，他们已在网银转账业务上增设防线，1月21日起，大幅降低用户单笔转账金额；自动向用户发送交易口令确认码，一旦有人从某个账户上转账，系统会提示用户，只有用户确认后，才能转，防止诈骗得逞。

　　防范-

　　用网银最好手工输入网址

　　省公安厅副厅长王琦说，针对近期出现的以“中行E令升级”为名的电信诈骗，省公安厅迅速采取有针对性措施，加紧破案，现已调集了全省打击电信诈骗犯罪的专家能手，会同各市公安刑侦力量，全力投入对犯罪资金流、信息流的追查，目前南京、无锡、苏州等地在多起案件上取得突破，并已派出多个工作组分赴外省展开深入侦查。

　　王琦告诉记者，江苏警方对假冒中国银行官网的涉案网站，已采取封堵、屏蔽措施，严防连续诈骗作案。同时，协调中行在它的官方网站发布“关于防范欺诈短信诱骗客户登录假冒中行网银的安全提示”。针对“中行E令升级”电信诈骗对象的特定性，也已协调相关部门，向全省中行网银客户发送了防诈骗手机短信，揭示犯罪手段，谨防上当受骗。此外，还要求民警对容易上当的中年妇女加强提醒。

　　对市民，尤其是网银用户来说，要仔细甄别不明来历的短信，银行所有相关的业务信息只会通过官方短信平台，以及官方网站发布，请市民切勿相信任何陌生手机发来的短信；特别在录入网银卡号、密码和动态口令时，更要仔细核对。如果市民因一时不慎而上当受骗，无论损失金额大小，都要尽快报案，全面提供诈骗手机号码、短信内容、“钓鱼网站”、银行账号等涉案信息，以便警方迅速破案，追回损失。警方欢迎通过互联网信箱、110电话等途径举报线索，对举报查实有功的，按规定给予奖励。

　　省公安厅有关人士进一步提醒说，这类诈骗得逞，第一步是市民没登录正确的银行官方网站，而是登录一些不明网址的“钓鱼网站”。目前，犯罪分子使用的“钓鱼网站”多是在正规官方网站www.boc.cn的基础上，添加字母或修改后缀变成的，如www.bocip.tk，www- bocsw.tk，www.bocbt.com，www.bocqg.com等。因此，市民办理网银业务时要擦亮眼睛，千万不要轻易使用搜索找到的某某银行网站，最保险的办法是，直接在地址栏中手工输入银行的官网地址。(文中当事人均为化名)

　　通讯员沈宫轩

　　本报记者于英杰

==========================
转几位的评论。很多人不知道什么是钓鱼，不知道骗子群发短信。

原帖:2011-01-24 08:54:13 新浪山东济南手机用户
肯定是内部人员所为，不然怎么会知道他们的手机号呀

原帖:2011-01-24 08:39:28 新浪广东珠海 1

用户最简单的防范办法就是打开网银的网页后，拖延一段时间（一分钟）才关闭，即使动态密码被盗，但是由于时间已过，动态密码也已经失效。 Crying or Very sad

2011-01-24 21:43:06 新浪北京网友塔库拉玛塔达

明明就是中行网银有漏洞，先输用户名和密码最后输入动态口令，这对用户名和密码根本没有起到保护作用。而其它银行的U盾均为USB接口的必须连接到电脑才可使用，极少提供可乘之机。中行动态口令倒是超级简单，不用连接电脑，使用时按下网银U盾的按钮输入显示的数字就可以，不明白设计的时候为什么不倒过来，把动态口令放在最前面，动态口输入正确后，用户才能输入用户名和密码，骗子利用这一点做的假网站和中行的一模一样，发短信说网银需要升级，这样用户在进入页面后无丝毫查觉，在输入用户名和密码以后就已经跳进骗局了，第三步输入动态口令只是谎子而已。中国银行赶快反省加强防范，不要推缷责任！！

==========================

上面几位朋友，好傻好天真！

作者：和煦的阳光 在海归商务发贴, 来自【海归网】 http://www.haiguinet.com

相关主题
再晒一个项目，请求各位前辈推介一些药企的人脉	创业投资项目评点	2011-10-18 周二, 18:28
【晒项目了：绝对国际首创已申请美国专利的减肥技术，正联系英特尔】控制不了...	海归商务	2011-2-03 周四, 23:35
晒项目了：垃圾粉碎设备，中国垃圾围城的困境将得到解决	创业项目评点	2011-1-23 周日, 23:09
晒项目了：投资百万，年利润千万的项目	创业项目评点	2011-1-23 周日, 09:08
[创新项目点评] 留交会淘到一个项目，找不到人，拿来这里晒一晒："...	海归商务	2010-12-22 周三, 06:57
留交会淘到一个项目，找不到人，拿来这里晒一晒：：“基于激光显示技术的平板显示屏”	创业项目评点	2010-12-20 周一, 22:42
留交会淘到一个项目，找不到人，拿来这里晒一晒：“基于无机场致发光材料柔性电...	创业项目评点	2010-12-20 周一, 22:31
留交会淘到一个项目，找不到人，拿来这里晒一晒：“利用微注塑成型技术开发通信...	创业项目评点	2010-12-20 周一, 22:02