(新加坡訊)新加坡出現新型詐騙手段,駭客無需盜取實體信用卡,只需利用程序,數秒鐘即可產生信用卡資料,透過小額轉帳反覆嘗試直到成功,再轉走受害者的血汗錢。
新加坡博客Alvinology創辦人林連豪(43歲)日前無故收到星展銀行手機應用程式的推送,稱他進行一筆1美元的小額轉帳,令他擔心有詐。
他說,該張專用於支付公司廣告投放的信用卡,多了一筆轉給「Setapp」公司的轉帳,銀行應用程式甚至要求他點擊通過交易。
「我向員工求證,確認該公司沒有這筆交易,便立刻聯繫銀行,接線員指我的信用卡很可能被盜刷了。我立刻停用6張星展銀行信用卡和網絡銀行服務,雖造成不便,但慶幸沒任何損失。」
林連豪收到一筆轉給「Setapp」公司的一美元轉帳通知,疑為銀行識別碼攻擊。 (受訪者提供)
他說,由於近來詐騙案非常猖獗,他平時非常謹慎,根本不知道信用卡資料是如何泄露。後來回想,當時他若點擊確認銀行推送的通知,錢可能就會被轉走了。
「這次算是幸運,但難保我下次也能來得及防堵騙子的操作。」
受訪網安專家指出,信用卡帳單上或手機應用程式通知中出現不明來源的交易或許是小數目,這種無需取得實體信用卡,利用程式產生信用卡號、有效日期和安全碼(CVV), 再頻繁「猜」卡主資料是否正確的詐騙伎倆並不罕見,而且難以防範,專家稱為「銀行識別碼攻擊」。
專家坦言,這類詐騙手段基本無法預防,民眾只能設定開啟每筆交易通知及定期查看帳單,避免自己蒙受損失。
可疑交易有跡可循
派拓網絡亞太區域首席安全官林奕軒指出,若信用卡用戶收到來自同一IP位址、金額較低且頻密的可疑交易,極有可能是遭遇銀行識別碼攻擊。
他說,若駭客成功猜中併入侵信用卡,短時間內就會進行大量消費竊取金錢。
他解釋,所謂的銀行識別碼,就是信用卡前6或前8的數字,大多是唾手可得的公開資訊。有了前面的數字,駭客只需利用程式產生無數個剩餘的數字組合來配搭,包括有效日期和安全碼。
「經過多次測試,就有可能測中有效的信用卡資料。駭客測試時的金額通常比較小,以免被發現。這些交易成功的信用卡資料,也可能流入暗網售賣,造成受害者可能損失上萬新元。」
他提醒,銀行用戶應多留意任何嘗試登入失敗的電子郵件通知,除了銀行戶頭外,電子郵件和社群媒體帳號也應設定多重身份驗證。
網民申訴 大華卡有不明交易
有網民申訴,自己的大華銀行備用信用卡突然被扣除370澳元,還有一筆在美國的交易,令他百思不得其解。
該網民說,該備用卡從未使用,資料不可能泄漏,但銀行職員事後告知他,騙子得逞就會無止盡地盜刷,防不勝防。
網安公司NordVPN新加坡區經理烏涅(Ugne Mikalajunaite)受詢時說,若用戶遭受銀行識別碼攻擊,會看到小額且頻繁的交易,銀行應用也會不斷出現授權錯誤或安全碼錯誤的記錄,說明駭客正在試驗來破解個人資料,且會專挑用戶警惕心低的時段,例如在半夜。
「多數駭客在暗網兜售信用卡資料前會試刷小額交易,以確定是否有效。」
他說,這類攻擊基本無法預防,但用戶可設定每筆交易觸發通知及定期檢查信用卡帳單。
「許多人進行小額交易時,不使用密碼進行雙重驗證,也選擇不觸發通知,雖節省時間,但也讓騙子盜卡時毫不費力。」
