⑴ 钓鱼短信再次升级,面对用户流失风险,银行金融机构该如何应对
一、钓鱼短信盯上银行用户
据美国网络安全公司proofpoint《2020 State of the Phish Report》数据显示,受疫情全球大流行影响,2020年全球钓鱼短信攻击的增长率超过300%。而其中,针对金融机构的网络钓鱼攻击占比最大,占所有攻击的22.5%。而在国内,这一比例更是高达26.88%:
近期“假冒银行短信钓鱼”案件频发,中国银保监会也紧急发文,就近期假冒多家银行名义发送服务信息的短信钓鱼诈骗行为进行风险提示:
种种迹象表明,黑产团伙已经盯上各家银行的用户,这将严重威胁到用户的财产安全,并对各大银行的品牌形象造成极为恶劣的影响。
早在2012年,全球每天有将近19亿条文字讯息通过WhatsApp等实时通讯软件传送,而传统短信则仅有17.6亿条。从那时起,每年都会有人喊出“短信已死”,结果人家非但没死,每天还变着花样,轮番轰炸你的手机:
营销泛滥的当下,流量转化成本越来越高,以槽点最多的开屏广告为例:
这种误点率极高的设计,就是为了让点击率能突破行业12%的上限。而短信则不同:
Mobile Squared的数据称,在所有营销渠道中,近九成的短信会在被收到后的三分钟之内被打开阅读,这一点是其他任何直接营销渠道所无法比拟的。
在独有的紧迫感下,短信催生了新的商机。除常规的短信验证码、服务类短信通知外,越来越多的银行使用文本消息进行新客营销,老客促活。越来越多的银行用户开始习惯,以短信文本消息与银行进行交互。而在不经意间,银行也帮助黑产团伙培养了用户习惯:
完美的钓鱼攻击环境,黑产团伙只需要模仿各大银行定期通过短信与用户互动,便可实施钓鱼短信诈骗。
根据FBI旗下互联网犯罪投诉中心(IC 3)的一份调查报告显示,在过去的三年里,全美因钓鱼攻击所造成的损失,超过260亿美元。而在我国,2020年以来,仅凭拦截下来的钓鱼诈骗信息,就为群众直接避免了将近1200亿元的经济损失。
在美国,摩根大通银行作为金融领域代表,与Netflix、苹果公司入选最受“钓鱼短信”模仿的热门品牌。而“假冒银行钓鱼短信”威胁,早已蔓延全球:
在国内,包括:民生银行、华夏银行、招商银行、众邦银行、贵州银行、嘉兴银行、湖州银行、昆仑银行、郑州银行等在内的多家银行纷纷通过官方渠道向用户推送风险提示,对冒充银行短信的新型诈骗手法进行预警:
三、钓鱼攻击背后的黑灰产
钓鱼式攻击(Phishing)作为最早的网络攻击类型之一,其 历史 可以追溯到上个世纪90年代。随着移动互联网的发展,传统钓鱼攻击下又演变出移动钓鱼攻击,其中短信钓鱼攻击(Smishing)就是传统钓鱼式攻击(Phishing)的变种:
作为移动威胁的一部分,“钓鱼短信”攻击已成为当下互联网的重要威胁。而随着各类信息及数据泄露事件的不断发生,包括:姓名、手机号、银行卡号与身份证信息等一套完整的公民隐私信息,对黑产而言,已触手可得。
随着 社会 对钓鱼攻击的关注,传统的攻击手段逐渐为用户所熟识,简单的信息诱骗和相似网站内容的欺骗已经很难成功实现钓鱼攻击:
成本低,风险小,广撒网,多敛鱼的模式已不具备优势,黑产转而向专业化、组织化以及分工细致化发展。一条由包网服务、短信通道、盗刷通道、 游戏 代充等多个黑灰产业链共同参与的钓鱼短信诈骗组织逐渐兴起。
1.钓鱼网站:
作为诈骗的关键环节,这块基本也是除了数据外,黑产另一项硬支出。包括:仿冒银行域名抢注、各大银行官网的模仿、到大量的适配手机界面的钓鱼网站以及购买美国或者香港免备案服务器进行搭建后制作拦截程序。搭建一个完整的钓鱼网站下来,五年前的价格大概在上千元。
随着分工越来越细, 包网服务商 出现,他们为黑产提供包括:搭建钓鱼网站、购买域名、服务器租赁甚至网站维护在内的全套服务。为提升竞争力,服务商还开通了各类后台管理系统,为黑产组织提供“一站式钓鱼攻击服务”:
2.精准数据采购
为了提升钓鱼短信转化率,降低运营成本,黑产会向“数据贩子”购买数据。而数据商通过各种渠道,能够拿到各种行业的用户数据,其中以金融行业数据最为热销。通过黑市、暗网论坛以及社交媒体进行交易,优质的一手数据,按照1万条算,单价一般能到上千元。一旦黑产掌握了银行用户的真实信息,如姓名、手机号、身份证、银行卡等重要隐私信息后,钓鱼短信的破坏性将得到质的提升。
3.伪基站发送钓鱼短信:
为了提升反侦察能力以及机动性,伪基站设备也在不断更新,由固定式变为移动式,由大功率变为小功率,由大体积变为小体积,使得违法犯罪分子携带更加轻便并实现移动攻击模式,比如,以每小时500元左右为酬劳或以合作分成的方式,让人带着设备穿梭于闹市区以及大型社区,“打一枪换一个地方”。
现在,国内各大运营商和短信平台的风控机制越来越严格,发送这些钓鱼网站被拦截的概率越来越大,于是有些黑产开始用国际短信通道来发送信息,规避审核。这些国际短信通道也有专门的公司提供,一般5000条起发,每条3-4毛钱。
4.出料
当用户上钩后,黑场会将钓鱼网站后台所收到的数据进行筛选整理,利用各个银行的在线快捷支付功能查询余额。然后,直接消费、进行转账或第三方支付消费,而针对无法将余额消费的,将会以余额的额度以不同的价格出售(大部分会打包起来以每条1元的价格进行多次叫卖),余额巨大的有时还会找人合作进行“洗料”。
5.洗料:
黑产通过多种方式将“料”进行变现,一般开通快捷支付充值水电、话费、 游戏 币或者利用其他存在第三方支付转账接口和银行快捷支付漏洞等,将“四大件”变成现金后,通过各种规避追查的手段与合伙人按比例进行分账,日均收入都在6位数以上。
与此同时,钓鱼短信仍保持着快速的技术迭代与策略更新:
利用移动通信、短视频平台、富媒体类等营销场景,钓鱼短信所承载的内容也将愈发丰富。这些消息,用于诱使用户下载欺诈性应用程序或打开指向密码窃取或欺诈性移动站点的链接;
更具欺骗性的文本使用以及短链,向银行用户隐藏实际的欺诈目的。黑产利用合法URL+字符形式+高防域名,让假冒域名在移动设备的小地址栏中仅显示该域的合法部分;
配合强调消息的紧迫性以及很难抗拒的诱惑,进一步提升钓鱼短信转化率;
频繁发生的钓鱼攻击案件,正在造成各大银行线上用户的流失。赛门铁克的一项研究表明,将近三分之一的银行用户表示,由于担心遭遇钓鱼攻击,而被迫放弃对网上银行的使用。
随着钓鱼短信攻击的手段日益复杂,事件持续高发,让银行以及用户蒙受巨大损失,严重影响用户财产安全,并逐渐失去对银行的信心。作为交互安全领域服务商,极验将从企业与用户的交互视角,审视钓鱼短信攻击:
早在5年前的 KCon 黑客大会上,网络安全专家Seeker在《伪基站高级利用技术——彻底攻破短信验证码》中曾明确表示,短信验证码这种安全认证机制可被轻易突破,理应尽快放弃并使用更安全的认证机制。
GSM 伪基站的搭建:硬件:普通 PC、USRP B2X0 + 天线(或Motorola C118/C139 + CP2102)。软件:Ubuntu Linux、OpenBSC。OpenBSC:由Osmocom发起并维护的一套高性能、接口开放的开源GSM/GPRS基站系统。
针对短信验证码存在的缺陷与安全隐患,具体表现为:
显然,如果仅仅是依靠短信验证码来确认用户身份,具有一定的安全隐患。对于平台而言,除了短信验证之外,在涉及大额支付及修改用户交易密码等业务场景,增加新的验证手段刻不容缓。
替代方案:脱敏手机号+免短信登录
仔细研究黑产整个钓鱼短信攻击环节,短信是黑产突破银行防线的重要突破口。而在银行金融机构的关键业务关节,极验“无感本机认证”正在替代传统短信验证码:
作为身份校验的升级方案,极验牵手全国三大运营商推出“无感本机认证”。由运营商网关直接验证用户SIM卡中的手机号码,全程加密,替代短信验证码。从而让不法分子无短信可嗅探,从根源解决短信嗅探的风险。同时,也大大简化用户操作流程,用户体验更加顺畅,有效提高转化率,帮助银行金融机构优化认证流程,助力拉新、留存、促活。
而对于银行用户,提升隐私安全意识,就能抵御超过一半的安全风险:《2019年数据泄露成本报告》中有一组数据,49%的数据泄露是人为错误和系统故障造成的,而这都让他们成为网络钓鱼攻击的牺牲品。
幸运的是,短信网络钓鱼攻击相对容易防御。你会发现,只要什么都不做,通常可以确保自己的安全。所以当遭遇疑似钓鱼短信的时候,不妨冷静下来思考三个问题:
当然,如果遭遇短信嗅探,则要迅速做出响应,例如:
作为银行用户,提高对移动安全事件的关注度和敏感度,对与个人关联的事件进行紧急响应,做好事后止损的工作。一旦遭遇以上情况,提高警惕,必要时可采取关机、启动飞行模式等应对措施应对。
可以预见,在之后数年,移动网络安全依然不容乐观。隐私泄露和移动攻击的泛滥和融合还会进一步加深,并导致网络攻击威胁泛滥进一步加深。对抗还将继续,不论是企业还是消费者,唯有不断强化安全意识,提升自身对抗风险能力,并做到及时排除风险隐患,才是不变的真理,从而让自己远离风险。
⑵ 工行关于信息安全的通知怎么写
工行关于信息安全的通知这样写
落实工业信息安全工作责任制 今年是党的二十大胜利召开之年。根据《关于印发<常州市工业信息安全工作责任制实施细则>的通知》(常工信信发〔2020〕343号)要求,请各辖市、区进一步落实工业信息安全责任,建立本行政区域工业信息安全工作机制,指导督促工业企业信息安全负责人加强安全管理和防护,保障网络安全和数据安全。在建立健全工业信息应急专家组和技术支撑队伍的前提下,以集中培训、现场诊断、专题演练等形式开展工业信息安全培训,年底将相关情况报送市工信局。 (二)提升企业信息安全防护能力水平 ★ 开展网站监测和检查评估工作。即日起至年底,督促本地区工业企业,关闭不必要的网站、软件系统、服务器,打开防火墙,注销境外注册的网站,企业委外代运维、托管网站,应对托管、代运维的第三方机构提出网络安全要求,确保不发生问题。为防止企业网站被境外敌对势力恶意篡改,各辖市、区工信部门通知本地区工业企业,市工信局将联合相关部门对规上企业的网站进行线上安全监测,通报检查结果,并委托常州工业信息安全联盟配合有信息安全威胁的企业进行整改,整改完成后由各辖市、笑或区工信部门汇总上报。 ★ 开展工业信息安全防护星级企业培育工作。全年新培育星级达标或提升企业56家。通过检测评估、咨询诊断和整改提升等方式,提升企业安全防护能力,帮助企业实现星级达标或星级提升。各辖市、区根据我市工业信息安全防护星级企业培育目标组织发动企业积极参与培育,并做好第三方自评估机构与企业对接服务工作。自评估咨询机构为企业提供免费咨询服务,针对企业在自评估过程中存在的问题提供一对一咨询服务,帮助企业摸清自身信息安全防护能力的实际情况。 ★ 实施工业互联网企业网络安全分类分级管理工作。根据《工业互联网企业网络安全分类分级管理指南(试行)》文件要求,引导企业开展网络安全分类分级自主定级,落实与自身等级相适应的安全防护措施,全年组织10家重点企业参与网络安全分类分级管理工作。各辖市(区)、有关单位、重点企业做好配合工作。2022年常州市工业信息安全服务商做好支撑工作。 (三)重要时间节点网络安全值班 各辖市、区工信(经发)局业务科室应安排人员在重要时间节点期间值班,确保发生本辖市、区企业网站安全问题能第一时间处置。值班人员应保持手机24小时开机,并掌握本辖市、区工业企业网络安全值班人员联系方式,确保能碰耐伍及时联系到本行政区域值班人员。各工业企业也应建立网络安全值班制度,确保重点亩洞时间节点能及时联系,及时处置。 (四)经验总结 11月30日前,各辖市、区工信部门将相关工作总结报市工信局。
⑶ 手机连接wifi,出现“安全提示”
这种提示是因为你加入的网络没有密码导致的,这个你没法改变,因为你没有路皮胡握由器的管理权限啊
而且你加入这种网络,真的对手机也有风险,没准就是黑客搭建的WIFI网络呢
你想使用这种网络做轮,可以给手机安装腾讯燃庆手机管家等安全软件
这样能保护手机的安全
⑷ 开通网上银行短信通知服务是网上银行密码安全常识吗
是。在网络支付的体系里面,通常是帐号加密码的认证方式,这个认证方式沿用多年,但是安全性越来越差。原本密码认证用在线下银行卡或者存折上面,盗取者首先要拿到用户举坦的卡或者存折实体才能办理支付,而网上银行业务,特别是快捷支正梁桐付业务,脱离柜台认证这一步,几乎任何一张卡都可以线上无任何渣巧实体完成支付或者转账。一旦用户密码泄漏,帐号就毫无安全性可言。而互联网上,用户往往喜欢用同样的密码避免遗忘,而只要有一个网站密码被拖库,用户所有的信息和隐私就全部暴露了。另外,不安全的路由器,钓鱼网站也会盗取用户的密码,这让交易变得很危险。佰佰安全网提醒您:多学习一些网络安全常识和网络安全技术知识对我们的帮助是非常大的,另外在日常时也要做好网络安全防范措施与应用措施,这样可以完全保证自己的信息安全。
⑸ 电信网络安全宣传短信
1、倡议文明上网,承诺网上文明,共建文明迟尺网络。
2、网上冲浪要有度,沉迷早晚会翻船。
3、充分利用网络便捷之利,坚决抵制网络低俗之风。
4、丰富的网络让人心充实,纯净的心灵使网络文明。
5、不劝君戒网,劝君莫被网。
6、网络提高知识的速度,文明提高生睁旦物活的质量。
7、网文化之精华,络天下之精英,闻世间之正事,悉液明做人之德行。
⑹ 手机短信被网络安全拦截怎么办
手机短信被网络安全拦截可以破解。先打开手机,找到手机里面的安全中心,点进去。进入镇宽脊到安全中心的主页面,找到骚扰拦截,点进去。可以看到有短信和来电两个选项,在短信的选项下会看到被拦截的短信,随便找一个,点击进入。可以看到御渗被拦截的短信的详细内容,点击屏幕下巧渣方的不再拦截就可以解除拦截。
⑺ 你好!收到市公安局提醒短信,是真的吗说我个人信息在网上已经泄露
肯定是假的,不要轻易相信任何短信,你怎么确定是市公安局发的提醒短信,别理他上当了
⑻ 手机提示网络安全想要向106699671发送一条短信怎么办
这个不用管,只要你的手机是安全的就可以,腾讯手机管家可以保护手机的安全。
腾讯手机管家是一款完全免费的手机安全与管理软件, 它虽然很小巧,但是功能全面。
腾讯手机管家秉承“安全陵薯弯自心,简单随行”的理念,在提供云智能查杀病毒、过滤骚扰等安全防护基础上,主动满足用户隐私保护、上网管理和系统优化等高尺闷端化和智能化的手机管理需求,进而更好的保护你的手机手此。
⑼ 网络安全宣传标语简短有力锦集五十五句
随着社会经济的快速发展,相信大家都看到过网络安全标语,这些激励性语言的标语对人们的思维是有一定的感性作用的。根据领导要求,我们接下来的工作是写网络安全标语。有没有可以参考的网络安全标语模板呢?一起来看看我为大家整理的“网络安全宣传标语简短有力”,有需要的小伙伴一定不能错过!觉得有用请收藏。
1.乘信息快车,请系好安全带。
2.切实增强网络安全意识,共同提高识骗防骗能力。
3.红客黑鹰,安全第一。
4.诈骗是把刀,缠身祸临头。
5.从自我做起 从现在做起 文明上网 净化网络语言。
6.维护网络安全,规范网络环境。
7.让每个中国人自豪的科技技术。
8.密码账号保护好,一旦泄露钱遭殃。
9.共建网络安全,共享网络文明并码。
10.让网络安全真正走进千家万户。
11.没有网络安全就没有国家安全,没有信息化就没有现代化。
12.保护个人信息安全,维护社会稳定大局。
13.短信告知中大奖,千万不要把枪躺。
14.增强网络安全意识,提高识骗防骗能力。
15.数据无价轮蔽罩,丢失难复;手机安全,杀毒护航。
16.提倡诚实守信,促进网络安全。
17.网文化之精华,络工大之精英;厚做人之美德,健世间之正行。
18.大学生应当在网络生活中培养自律精神。
19.保护个人信息安全,人人有责。
20.守护网络安全,呵护精神家园。
21.网路波折,迅雷依然前行!
22.注意网络安全,保护个人隐私。
23.人性源于心灵 网络源于文明。
24.网络连着你我他,安全防范靠大家。
25.智造新安全,安享新生活。
26.加强个人信息安全保护,做好自己的安全卫腊闹士。
27.电信诈骗手法高,提高警惕莫入套。
28.黑鹰展翅,互联翱翔。
29.安全意识深入心,争当中国好网民。
30.文明网络——引领时代信息高速发展的使者。
31.网络服务各行各业,安全保障改革发展。
32.随时随地触摸网络,分分秒秒感受迅雷。
33.打造健康网络环境,保障网民上网无忧。
34.有科技就有黑鹰。
35.故意制造,传播计算机病毒是犯罪行为。
36.纵网络怀弱水三千,我只取文明一瓢饮。
37.提高警惕防诈骗,平安家园携手建。
38.上网要文明,看你行不行。
39.建安全网络,享文明社会。
40.提高个人信息保护意识,保护个人合法权益。
41.迅雷,网络上翘起的大拇指。
42.网罗之事,安为万事之先。
43.净化网络资源就是净化您的思想。
44.电信诈骗手法新,涉钱信息莫轻信。
45.用科技的心,用鹰的眼睛布好每一张网络安全的网。
46.上网需谨慎 “中奖”莫当真。
47.提高网络安全意识,营造安全网络环境。
48.联防群治效果好,电诈骗子无处逃。
49.为了顾客,我们一直在进步迅雷服务:以人为本,构建无忧网络。
50.白送的“礼包”不收,幸运的“中奖”不领。
51.找迅雷,早康复!迅雷服务,领先一步!
52.编织安全网络,共筑幸福生活。
53.您的需要恰恰是我们的需要!
54.巩固网络安全,共创和谐社会。
55.邻里守望相助,电诈有孔难入。
我特别推荐