【大纪元11月27日讯】〔自由时报记者苏恩民、刘庆侯╱台北报导〕检警侦办林启顺入侵网路银行案,发现两个现象,十分可疑,其一,林启顺测试被害人密码,绝大多数第二次便能准确猜中;其二,数千名被害人所使用的电子邮件信箱,清一色都是雅虎奇摩的免费信箱;专案小组研判,这两大疑点,应与歹徒如何取得被害人账号、密码,有极重要关联,不排除全案另有其他共犯。
专案小组归纳出前述两项疑点,主要是根据林启顺电脑档案内的建档资料,以及建华银行等网路银行协助提供内部安全控管资料;但因林启顺落网后,始终不愿翔实供出作案关键手法,办案人员目前仍无法知悉其电脑内所存放的数万笔被害人资料,究竟从何而来。
检警指出,林启顺曾于今年三月间,因涉嫌诈领他人网路银行存款相关犯罪而被捕,当时他的作案方式,主要是先搜集、窃取银行寄发给民众的信用卡账单,再根据文件中的信用卡账号、身份证字号、生日等资料,登录网路银行,或进入电话语音认证系统,逐一测试被害人的密码。
林启顺取得账号、密码后,即以“合法”姿态,冒充被害人名义进入银行网站,随即变更、窜改被害人密码及住居地等资料,再利用各式网路理财功能,盗领被害人存款,或办理预借现金牟利。
问题是,前次犯案过程中,林启顺主要根据被害人的身份证资料、生日、甚至四个数字排列组合方式,不断测试被害人的网路银行密码,才能成功盗取被害人存款,但根据建华银行提供的资料显示,林启顺这次作案,几乎都是在第二次输入正确的密码,且不少被害人的密码,并非设定生日、身份证字号等“懒人密码”,显示林启顺事前应已掌握某些可靠资讯。
其次,检警过滤林启顺的电脑档案,发现几乎所有被害人的电子邮件信箱,都是从雅虎奇摩网站申请而来的免费信箱,办案人员认为这种“巧合”,十分不寻常,似乎透露某种关联性,专案小组不排除全案可能另有其他尚未曝光的共犯,在幕后协助提供犯案所需关键情资,将根据现有情资,深入追查、还原事件真相。
〈自保之道〉懒人密码 千万别用
〔记者苏恩民╱特稿〕国内金融机构自九十年五月爆发首宗网路银行诈骗案以来,已经出现不少存款人或信用卡持有人遭冒名盗领、盗刷的案例,但分析歹徒能够得逞的原因,除了银行账单列印等作业疏失外,被害人不注重密码管理,恐怕才是导致自己成为被害人的最关键因素。
从最近几年层出不穷的各式网路金融犯罪案例,可知目前网路银行、线上购物等电子交易环境,仍无法保障交易资料绝对安全,一般人或企业,若无法避免这类网路交易需求,最起码也要做好密码设定及管理,才能使财物损失的风险降至最低,因为一旦密码遭破解,歹徒便能堂而皇之进入银行网站,轻易窃取、窜改被害人所有个人金融理财资料。
一般而言,密码设定及管理,应该谨记下列六项原则:一、绝对避免设定“懒人密码”,亦即勿以生日、电话、统编等个人或公司基本资料有关的数字设为密码,以免遭歹徒轻易猜出。
二、不要为了方便记忆,而使用连续或相同的数字作为密码,例如:1234、ABCD、8888等,且尽可能英文与数字交互使用,其中英文最少两位,数字最少一位。
三、请勿泄漏密码给其他任何人,包含银行行员,也不要将密码写在明显易见之处。
四、一般电子邮件等网站密码(可能是明码),应避免与网路金融交易的密码相同,以免遭歹徒收集、比对、猜中而盗用。
五、线上交易一旦完成,或登入网路银行网站期间暂时离开座位,应养成先登出网路银行的习惯,且最好不要在网咖等公用电脑使用有交易功能的网站,以免账号密码遭歹徒利用木马程式还原取得。
六、应该经常不定时变更密码。
〈透视手法〉破解金融密码 就像玩四星彩
〔记者刘庆侯、苏恩民╱台北报导〕“只要给歹徒身份证号码和出生年月日,对方就有三次机会,可以试着破解民众自己登录的金融密码”;警方指出,林嫌就好像每天在网上玩“四星彩”一般,但只要让他猜中一次,那银行和民众可就要损失不赀了。
此外,林嫌最恶劣的是,一旦侵入冒贷成功后,还会假装是银行人员,打电话给被害人查账,让对方真的以为银行错误入账后,才要求转汇至其他指定账户;此举不仅趁机诈欺对方钱财,还等于利用被害人充当人头户“过水”洗钱。
警方表示,曾是伪卡盗刷集团成员的林启顺,共有两个步骤搜集身份证、信用卡等资料;第一、是透过不明管道,向各汽车修理厂、公司行号收购、搜集客户刷卡资料或单据,再根据单据上登录的客户资料,判断出对方所属持卡银行。
第二,利用网路“身份证字号产生器”软体,选取城市及获取身份证号码后,以病患或亲友名义,打电话向当地最大的医疗院所查询或谎称挂号,事后再以撤销挂号或探病作借口,伺机骗取身份证号码者真正的姓名及出生年月日。
在取得相关资料后,只要被害人是以生日、卡号、车号等“懒人密码”,设定作为自己的金融密码,林嫌一旦顺利破解,就可利用网路银行或银行语音电话等系统,轻易的以被害人身份,向银行申办各项业务。
随后,林嫌会先逐一将被害人的金融卡、信用卡、提款卡全乔理遗失补发,再把未来补发的卡片及单据送达地址,全数改到自己设定的租住处,被害人和发卡银行完全被蒙在鼓里。
同时,林嫌会私下以一个月作期限,以防被害人发现自己的账户存款不足或信用卡额度已爆,以便在期限内尽量的盗刷、盗领。
此外,林嫌若发现被害人的信用贷款额度够高,还会立即申领贷款,一旦贷款汇入被害人户头内,林嫌便会假称是银行人员,表示有一笔账款错置,要求对方刷提款卡查账,再请对方以转汇方式将款项转入其人头账户。
〈一网打尽〉入侵网银 三种手法
记者苏恩民╱特稿
骇客搜集被害人账号、密码,据以入侵网路银行的手法众多,令人防不胜防,多数被害人经常存款已遭盗领一空仍不自知,过去甚至发生过歹徒利用被害人网路银行账户内存款,替被害人作主购买证券基金的案例,可见网路金融犯罪具有隐蔽性高的特性,值得有关单位注意。
一般而言,歹徒取得网路银行使用者的账号、密码或信用卡持有人资料的手法,通常可分为三大类,包括“苦力型”、“社交工程”及“骇客攻击”。
所谓“苦力型”,是指歹徒凭借自身劳力,收集被害人金融往来资料,例如信用卡公司寄发给客户的信件,再根据相关文件内记载的账号,登入银行网站,逐一测试密码,直到猜中为止;这类取得被害人账号、密码模式,必须耗费庞大时间、人力,因此除非是有组织的集团犯案,否则危害通常不至于太大。
“社交工程”说穿了就是一种骗术,亦即歹徒利用人性贪婪、轻信等弱点,伪装自己的身份,通常利用电话,谈话中向被害人或金融机构套出犯案所需账号、密码,由于歹徒必须事先知悉被害人的基本资料,因此这类犯罪往往是熟人所为。
至于“骇客攻击”行为,因各网路银行为免遭骇客入侵,均不惜钜资设立固若金汤的防火墙,故歹徒常转向使用者下手,先利用骇客程式,取得被害人账号、密码,再冒名进入银行网站,遂行诈欺、盗领、洗钱等犯罪。这类骇客常以电子邮件,引发网友开启来路不明的档案,伺机植入恶意程式如键盘侧录程式(key-logger)及木马病毒(TrojanVirus)等,一旦使用者不慎掉入陷阱,骇客即可轻易开启后门(Backdoor),窃取被害人电脑内的个人机密资料。
骇客也可能利用系统漏洞,制作成病毒程式大量散播,以最短时间内感染其他电脑系统,并将木马程式藏匿其中伺机窃取个人重要资料,或建立色情网站、网路商店等,引诱网友线上消费并输入信用卡号及密码,轻易取得使用人的私密资料。
(http://www.dajiyuan.com)
