9月16日,乌云网曝光某些钓鱼网站伪造电信掌上营业厅积分换现金活动,骗取信用卡号、CVV码等关键信息。这些钓鱼网站本身存在严重安全漏洞,黑客可轻易入侵导致大量受害网民银行卡、身份证等信息泄露。金山毒霸安全中心已拦截这些钓鱼网站,通过垃圾短信拦截系统阻止诈骗短信到达用户手机。
图1 乌云网公布的相关漏洞信息截图
图2 伪装成中国电信积分活动网页,右侧是非常典型的钓鱼界面
金山毒霸安全专家介绍说,这类钓鱼网站多半通过伪基站技术群发垃圾短信传播。诈骗路径是:伪基站→群发垃圾短信(伪装发件人号码)→短信内带钓鱼网址→使用手机浏览器访问钓鱼网站→网民提交银行卡、身份证关键业务。部分钓鱼网站在手机浏览器打开之后,还会欺骗用户下载山寨网银或相应业务APP,这些APP除内嵌钓鱼页面外,还会拦截银行或支付系统发送的验证码短信,一旦安装,网银资金极有可能被盗。
更为不幸的是,这些收集受害者银行卡、身份证信息的钓鱼网站安全性非常差。黑客可以轻易利用网站漏洞入侵,访问受害者提交的详细个人信息。任何人拿到这些详细的银行卡信息就可以实现银行卡离线交易。离线交易是不刷卡交易,仅凭卡号、持卡人姓名、有效期、卡背面的三位CVV码即可在世界各地的电子商务网站购物消费。
图3 钓鱼网站记录的持卡人详细信息,凭这些信息可以轻易完成网购消费
最近,网络诈骗案件频发,扮演小龙女的李若彤就在最近被骗走100万元。金山毒霸安全专家提醒网民勿轻易相信短信中提供的网址链接,点击可疑短信链接极可能导致银行卡、身份证等关键个人信息泄露,从而危及网银资金安全。
网民可以使用金山手机毒霸提升手机安全性,一旦手机安全软件提醒网址异常,应果断停止访问。安装手机软件,建议尽可能去比较知名的应用市场,不要轻易通过点击手机短信链接去下载,不要轻易相信要求退出或卸载安全软件才能进行某项业务的说法。