(新加坡14日讯)新加坡出现新型诈骗手段,骇客无需盗取实体信用卡,只需利用程序,数秒钟即可产生信用卡资料,透过小额转帐反覆尝试直到成功,再转走受害者的血汗钱。
新加坡博客Alvinology创办人林连豪(43岁)日前无故收到星展银行手机应用程序的推送,称他进行一笔1美元(约4令吉72仙)的小额转账,令他担心有诈。
他说,该张专用于支付公司广告投放的信用卡,多了一笔转给“Setapp”公司的转账,银行应用程式甚至要求他点击通过交易。
“我向员工求证,确认该公司没有这笔交易,便立刻联系银行,接线员指我的信用卡很可能被盗刷了。我立刻停用6张星展银行信用卡和网路银行服务,虽造成不便,但庆幸没任何损失。”
他说,由于近来诈骗案非常猖獗,他平时非常谨慎,根本不知道信用卡资料是如何泄露。后来回想,当时他若点击确认银行推送的通知,钱可能就会被转走了。
“这次算是幸运,但难保我下次也能来得及防堵骗子的操作。”
受访网安专家指出,信用卡帐单上或手机应用程式通知中出现不明来源的交易或许是小数目,这种无需取得实体信用卡,利用程式产生信用卡号、有效日期和安全码(CVV), 再频繁“猜”卡主资料是否正确的诈骗伎俩并不罕见,而且难以防范,专家称为“银行识别码攻击”。
专家坦言,这类诈骗手段基本无法预防,民众只能设定开启每笔交易通知及定期查看帐单,避免自己蒙受损失。
可疑交易有迹可循
派拓网路亚太区域首席安全官林奕轩指出,若信用卡用户收到来自同一IP地址、金额较低且频密的可疑交易,极有可能是遭遇银行识别码攻击。
他说,若骇客成功猜中并入侵信用卡,短时间内就会进行大量消费窃取金钱。
他解释,所谓的银行识别码,就是信用卡前6或前8的数字,大多是唾手可得的公开资讯。有了前面的数字,骇客只需利用程式产生无数个剩余的数字组合来配搭,包括有效日期和安全码。
“经过多次测试,就有可能测中有效的信用卡资料。骇客测试时的金额通常比较小,以免被发现。这些交易成功的信用卡资料,也可能流入暗网售卖,造成受害者可能损失上万新元(约3万余令吉)。”
他提醒,银行用户应多留意任何尝试登入失败的电子邮件通知,除了银行户头外,电子邮件和社群媒体帐号也应设定多重身分验证。
网民申诉 大华卡有不明交易
有网民申诉,自己的大华银行备用信用卡突然被扣除370澳元(约1113令吉),还有一笔在美国的交易,令他百思不得其解。
该网民说,该备用卡从未使用,资料不可能泄漏,但银行职员事后告知他,骗子得逞就会无止尽地盗刷,防不胜防。
网安公司NordVPN新加坡区经理乌涅(Ugne Mikalajunaite)受询时说,若用户遭受银行识别码攻击,会看到小额且频繁的交易,银行应用也会不断出现授权错误或安全码错误的记录,说明骇客正在试验来破解个人资料,且会专挑用户警惕心低的时段,例如在半夜。
“多数骇客在暗网兜售信用卡资料前会试刷小额交易,以确定是否有效。”
他说,这类攻击基本无法预防,但用户可设定每笔交易触发通知及定期检查信用卡帐单。
“许多人进行小额交易时,不使用密码进行双重验证,也选择不触发通知,虽节省时间,但也让骗子盗卡时毫不费力。”