6月9日,,《新京报》发布了一则骇人听闻的消息,“银行卡盗刷”黑色产业链浮出水面!只需三个步骤,你的钱分分钟就会被秒走!银行卡盗刷产业链包括以下三大“业务”:从伪基站群发木马短信诱导用户钓鱼网站、拦截码钓用户信息,洗料人将钱洗白分赃。
第一步:伪基站“设局”
伪基站是银行卡盗刷产业链的上游,其一天平均可发出三万条信息!互联网黑产从业者的业务分“黑白”两块,所谓“黑”即发送含有诈骗内容的短信,而“白”则是商户促销等信息。一小时收费500元,包天4500。这几乎是零成本,坐等收钱,月入可达十几万。
第二步:诱骗银行密码
当伪基站将短信轰炸式地发送至用户时,点击短信链接的用户就会掉入骗局。黑客开发的钓鱼网站,外观与银行官网一样,积分兑换、安装安全控件是他们的常见戏码。用户的身份证、手机号、银行卡账户和密码是“四大件”,被植入了手机短信拦截木马的用户,黑客可轻易拦截其手机信息、接收手机验证码,这在业内被成为“拦截料”在从事地下交易的群里,
“拦截料”被明码标价出售。
第三步:“洗料人”盗刷“洗白”
伪基站也好,钓鱼网站也罢,都是窃取用户银行卡信息的手段,但把银行卡中的钱“安全”提取出来,需要借助专业“洗料人”掌握的“通道”。
▲某黑产群“洗料人”在招揽生意
最为“传统”的洗料通道是直接取现,这类“洗料人”被称为“取手团队”,具体手法是通过技术直接复制与原卡片持有者一样的银行卡出来,然后找人直接去ATM机取款。一旦事情败露,这些人总是最先被抓的。目前流行的“通道”包括开通快捷支付的各类网上银行系统、游戏币、卡盟话费及其他第三方平台。遭盗刷后,如何把损失降到最小?
用户银行卡里的钱如不幸被盗刷,应立即致电发卡行冻结卡片,避免损失扩大。随后尽快到ATM机打印凭条,证明人卡未分离。到派出所报案之时,需向办案人员出示银行卡原卡。一般用户银行卡信息泄露后遭到盗刷,很难判断泄露环节在哪。但银行卡在盗刷时总会有IP地址显示,银行卡持有人只要证明银行卡被盗刷时的IP地址和本人当时所在地址不一致,即可证明此交易非本人操作,从而获得银行理赔。
防患于未然!教你几招识破钓鱼网站!
1、聊天工具的反钓鱼功能
在、淘宝等聊天工具的窗口中加入反钓鱼网站的功能,它会在每个链接的前面显示一个信任图标,绿色打勾的图标才是受信任的,而有问号的图标大家就最好不要去点击。
2、网站自动记录功能
网站自动记录功能也很关键,很多人在淘宝上购买过东西后,淘宝网会自动记录地址,方便下次使用;而假的淘宝网站就不会有记录,当你进入付款页面,里面的收集地址需要手动来填写的话,就要提高警惕了。
3、天上掉馅饼不可信
很多钓鱼网站喜欢利用中奖、促销等信息来诱惑用户,天下没有免费的午餐,没有通过有效途径证实的信息都不要轻信。
4、检查网站的安全性
对于网络银行的钓鱼网站,我们可以把域名前面的http://改成https://,这样打开的网址后面就会出现一个带锁状的图标,这表示该网站浏览时会进行加密处理,一般仿冒的钓鱼网站是没有这个加密功能的。
5、硬件防护措施
如今很多网络银行都提供了U盾、密宝令处于等功能,其实就是一款加密的U盘,而钓鱼网站是不支持U盘加密功能的,所以当U盾在网站上不起作用时,那就说明你浏览的网站是钓鱼网站了。
6、把常用网站放入收藏夹
很多不法分子会利用搜寻引擎的和域名的高相似度来把自己的钓鱼网站放到搜索页面的前列,所以我们必须牢记自己的常用网站网址,或者把它们添加到浏览器收藏夹中,尽量不要从其他网站或者搜索引擎中直接进入。
网络安全无小事,一个小动作就有可能让自己陷于危险之中。“ISEC实验室”作为一支实力强劲的安全团队,专注于网络安全前沿技术研究、提供网络安全培训、应急响应、安全监测等服务,为网络安全事业的发展保驾护航!