银行识别码攻击不罕见 且难以防范
他说,一张专用于支付公司广告投放的信用卡,多了一笔转给“Setapp”公司的转账,银行应用甚至要求他点击通过交易。
经过多次测试,就有可能测中有效的信用卡资料。黑客测试时的金额通常都比较小,以免被发现。这些交易成功的信用卡资料还可能流入暗网售卖,造成受害者接下来可能损失上万元。
本地博客Alvinology创办人林连豪(43岁)日前无故收到星展银行手机应用的推送,称他进行了一笔1美元的小额转账,令他十分讶异,担心有诈。
用户可设触发通知及定期检查账单以避免损失
这种无需取得实体信用卡,利用程式“生成”信用卡号、有效日期和安全码(CVV),再频繁“猜”卡主资料是否正确的诈骗伎俩并不罕见,并且难以防范,专家称为银行识别码攻击(Banking Identification Number Attack,简称BIN Attack)。
乌涅指银行识别码攻击基本上无法预防,但用户可以设定每笔交易都触发通知,以及定期检查信用卡账单来避免损失。“不少人进行小额交易时,都不会使用密码进行双重验证,也选择不触发通知。这确实可以节省时间,但也让骗子盗卡时毫不费力。”此外,多数黑客在暗网兜售信用卡资料前,都会试刷小笔数额以确定信用卡是否仍然有效,这都会反映在账单上。
林连豪立刻停用了六张星展银行信用卡和网银服务,这虽造成不便,但所幸没有蒙受任何损失。“我后来回想,当时我若点击确认了银行推送的通知,钱可能就会被转走了。这次算是幸运的,但难保我下次也能来得及防堵骗子的操作。”
信用卡账单上或手机应用通知中出现不明来源的1元交易或许是小数目,却可能导致信用卡用户损失上万元。
网安公司NordVPN新加坡区经理乌涅(Ugne Mikalajunaite)受询时说,用户若遭受银行识别码攻击,除了会看到小额且频繁的交易,银行应用还会不断出现授权错误或安全码错误的记录,说明黑客正不断反复试验来破解个人资料。此外,黑客也会专挑用户警惕心低的时段,例如在半夜进行消费。
延伸阅读
林奕轩说,银行用户也应该多留意任何尝试登录失败的电子邮件通知。除了银行户头外,电邮和社交媒体账号同样应设定多重身份验证。
无需盗取实体信用卡,黑客利用程式数秒即可生成信用卡资料,通过小额转账反复试错直到成功后,再神出鬼没转走受害者的血汗钱。网安专家指出,这个诈骗手段基本上无法预防,公众只能设定开启每笔交易通知,以及定期查看账单来避免自己蒙受损失。
“我向员工求证后,确认公司没有这笔交易,立刻拨打银行热线,接线员指我的信用卡很可能被盗刷了。由于近来诈骗案非常猖獗,我平时就特别谨慎,根本不知道信用卡资料是如何泄露的。”
另有网民申诉,自己的大华银行备用信用卡突然被扣除370澳元,还有一笔在美国的交易,让他百思不得其解。他说,这张备用卡从未使用,因此资料不可能泄露。银行职员事后告知他,这类骗子一旦得逞,就会无止尽地盗刷,防不胜防。
他解释,所谓的银行识别码,就是信用卡前六位或前八位的数字,用来识别发卡银行,大多是唾手可得的公开资讯。有了前面的数字,黑客再来仅需利用程式生成无数个剩余的数字组合来配搭,包括有效日期和安全码。
派拓网络亚太区域首席安全官林奕轩答复《联合早报》询问时说,信用卡用户若收到来自同一IP地址、金额较低且频密的可疑交易,就极可能遭遇银行识别码攻击。“这些黑客一旦成功猜中并入侵信用卡,短时间内就会进行大量消费窃取钱财。”