(新加坡14日讯) 新加坡出现新型诈骗手段,骇客无需盗取实体信用卡,利用程式数秒钟即可产生信用卡资料,透过小额转账反复试错直到成功后,再神出鬼没转走受害者的血汗钱。
新加坡部落格Alvinology创办人林连豪(43岁)日前无故收到星展银行手机应用程式的推送,称他进行了一笔一美元(约4令吉72仙)的小额转账,令他十分可异,担心有诈。
他透露,一张专用于支付公司广告投放的信用卡,多了一笔转给“Setapp”公司的转账,银行应用程式甚至要求他点击通过交易。
“我向员工求证后,确认公司没有这笔交易,立刻拨打银行热线,接线员指我的信用卡很可能被盗刷了。由于近来诈骗案非常猖獗,我平时就特别谨慎,根本不知道信用卡资料是如何泄露的。”
林连豪立刻停用6张星展银行信用卡和网路银行服务,这虽造成不便,但所幸没有蒙受任何损失。
“我后来回想,当时我若点击确认了银行推送的通知,钱可能就会被转走了。这次算是幸运的,但难保我下次也能来得及防堵骗子的操作。”
受访网安专家指出,信用卡账单上或手机应用程式通知中出现不明来源的交易或许是小数目,这种无需取得实体信用卡,利用程式“产生”信用卡号、有效日期和安全码(CVV),再频繁“猜”卡主资料是否正确的诈骗伎俩并不罕见,并且难以防范,专家称为“银行识别码攻击”。
受访专家坦言,这个诈骗手段基本上无法预防,民众只能设定开启每笔交易通知,以及定期查看账单来避免自己蒙受损失。
派拓网路亚太区域首席安全官林奕轩答复《联合早报》询问时说,信用卡用户若收到来自同一IP位址、金额较低且频密的可疑交易,就极可能遭遇银行识别码攻击。
“这些骇客一旦成功猜中并入侵信用卡,短时间内就会进行大量消费窃取钱财。”
他解释,所谓的银行识别码,就是信用卡前6位或前8位的数字,用来识别发卡银行,大多是唾手可得的公开资讯。有了前面的数字,骇客再来只需利用程式产生无数个剩馀的数字组合来配搭,包括有效日期和安全码。
“经过多次测试,就有可能测中有效的信用卡资料。骇客测试时的金额通常都比较小,以免被发现。这些交易成功的信用卡资料也可能流入暗网售卖,造成受害者接下来可能损失上万新元(约3万馀令吉)。”
林奕轩提醒,银行用户也应该多留意任何尝试登入失败的电子邮件通知。除了银行户头外,电子邮件和社群媒体帐号也应设定多重身分验证。
另有网友申诉,自己的大华银行备用信用卡突然被扣除370澳元(约1112令吉84仙),还有一笔在美国的交易,让他百思不得其解。
他说,这张备用卡从未使用,因此资料不可能泄漏。银行职员事后告知他,这类骗子一旦得逞,就会无止尽地盗刷,防不胜防。
网安公司NordVPN新加坡区经理乌涅受询时说,用户若遭受银行识别码攻击,除了会看到小额且频繁的交易,银行应用还会不断出现授权错误或安全码错误的记录,说明骇客正不断反复试验来破解个人资料。此外,骇客也会专挑用户警惕心低的时段,例如在半夜进行消费。
“多数骇客在暗网兜售信用卡资料前,都会试刷小额金额以确定信用卡是否仍然有效,这都会反映在账单上。”
他坦言,银行识别码攻击基本上无法预防,但用户可以设定每笔交易触发通知,以及定期检查信用卡账单来避免损失。
“不少人进行小额交易时,都不会使用密码进行双重验证,也选择不触发通知。这确实可以节省时间,但也让骗子盗卡时毫不费力。”