兩三周前,有銀行客戶在使用互聯網銀行服務時,發現有惡意軟件盜取他們的個人資料,并嘗試進行轉賬。據了解,目前并沒有任何人因此蒙受財務損失。新加坡銀行公會昨天發布文告,表示有些網上銀行用戶的電腦,被一個叫做“SpyEye”的惡意軟件(malware)所感染。這相信是銀行公會多年來,首次公開提醒銀行客戶要慎防惡意軟件入侵。
用戶一旦使用受SpyEye感染的電腦來登錄銀行網站,頁面就會出現指示,要用戶耐心等候,因為網站需要1至10分鐘來“檢查用戶的安全設置”。SpyEye此時就開始暗中操作,盜取用戶的網上銀行服務資料。
這是SpyEye最明顯的特征。銀行公會表示,銀行網站在正常情況下,不會要求用戶等上那么久的時間,“這表示惡意軟件在盜取用戶的資料。”
銀行公會是個非盈利組織,代表銀行業在新加坡的利益,屬下有117個本土和海外銀行成員。
SpyEye的另一特征
SpyEye的另一特征就是在同一個頁面上,同時要求用戶輸入他的用戶名(username)、用戶密碼和一次性密碼(one-time password,簡稱OTP)。
頁面要求用戶輸入一次性密碼,有二次把關的作用。在正常情況下,銀行網站在用戶輸入用戶名和密碼后,轉入另一個頁面,才要求用戶輸入他通過手機短信或密碼生成器所獲得的一次性密碼。
其中受影響的包括星展銀行(DBS)的客戶。星展電子商務總經理桑迪普·拉爾(Sandeep Lal)指出,有客戶第一時間向銀行反映這個問題,銀行才能及時采取行動,防止他們蒙受損失。
華僑銀行(OCBC)集團企業傳播部總監高菁菁則指出,SpyEye的存在并沒有造成華僑銀行的客戶任何財務損失,在銀行的網站上進行業務還是安全的。
許多銀行都已經在各自網站上,呼吁客戶提防SpyEye。除了上述兩家銀行在網站上出示這類提醒,大華銀行(UOB)和馬來亞銀行(Maybank)也呼吁客戶多加防范。
SpyEye在互聯網上多處潛伏。網民到訪受感染的網頁或社交網絡,還是打開有病毒的電郵或文件后,都有可能向SpyEye敞開大門,引狼入室,讓電腦受到感染。
銀行公會呼吁用戶,如果在銀行網站上觀察到上述現象,又或者在沒有進行有關銀行網上業務,卻收到突如其來的一次性密碼手機短信,應立即結束網上業務,關閉瀏覽器窗口,再通知有關銀行。
同時,公眾也應該在瀏覽器窗口內,親自輸入銀行網站網址,確保正確后,再輸入用戶名和密碼。
另外,每當用戶在使用網上銀行服務后,都必須確保銀行賬戶余額正確。
金融管理局認為銀行公會所提出的防范措施很健全,并呼吁公眾熟悉這些措施,提高警惕。
趙崇杰(34歲,干冰制造商行銷員)雖然有使用網上銀行服務,但他所下載的免費防毒軟件會定期更新,從沒碰過惡意軟件的侵襲。同時,他在進行業務后,會清除瀏覽器所存下來的用戶名和密碼,避免黑客盜用他的個人資料。
他認為,這些都足以避免他成為惡意軟件的無辜受害者。如果需要辦理的是高額款項,他寧愿舍棄網上銀行的方便,親身到銀行走一趟。
他說:“即使你有最好的防毒軟件,防范措施滴水不漏,黑客只要有心,還是能夠趁虛而入的。”
京公網安備 11010502049343號