自去年12月起,有469名华侨银行(OCBC)客户因误信钓鱼简讯(SMS),被不法分子骗取银行账户信息并盗走存款,受骗总额高达850万新元。
与过去的钓鱼简讯不同,不法分子此次不再以“中奖”为诱饵,而是利用改号欺诈(number spoofing)方式,在公众的银行短信页面中插入诈骗短信,谎称客户的银行账户或信用卡有问题,利用他们的恐慌心理,误导他们在钓鱼网站输入网银用户名和密码。
一名受骗男子透露,他在去年12月21日中午收到一条简讯,称名下的华侨银行户头添加了一个不知名的收款人,如果是未经授权的话,就必须点击简讯中的链接进入银行账户修改信息。该男子点击链接后,就出现了一个与银行网站几乎一模一样的页面,于是按网页要求输入了个人银行资料。在事发当天下午6时该男子收到银行发来的信息通知账户变更以及转账记录,这时他才惊觉户头内的12万新币储蓄全被转走了。
由于短信中的发信人显示为“华侨银行”,实在让公众难辨真假。据调查,这些不法分子利用了SMS简讯的设计漏洞,通过修改发信人名称来混淆公众的分辨能力。例如,在华侨银行钓鱼短信骗案中,骗子很轻易地就把发信人名称编改为OCBC。
除此之外,其他不法分子通过伪装成运营商的基站,冒用他人手机号码向用户手机发送诈骗、广告推销等简讯。这样的“伪基站”设备通常是放置在汽车内,驾车缓慢行驶或将车停在特定区域,进行短信诈骗。
国际信息系统安全认证联盟(ISC)董事张润才指出,短信是20多年前的技术。短信一开始的设计是为了简易地传递信息,从来就不是安全地传递信息的渠道,因此公众应提高警惕。
受访律师表示,若不是银行疏漏导致被骗,受骗者将难以通过法律途径追回失款。然而,如果银行被发现存在疏忽或违反了与客户的合同(比如没有定期修补系统),它们可能要承担责任。
事发后,一些受骗者指责银行公关危机反应速度慢,没有及时向客户发出警示,也没有设立专业团队来应对此类案件。华侨银行对外坦承其客户服务与反应能力未达到客户期望。对此,本周一(17日)华侨银行发文公告,自本月8日起陆续向受害客户作出善意赔偿,至今有30多人获赔。但该银行并没有透露赔偿总额,而是在彻底核查和考量每起案件的具体情况后,出于善意而对客户补偿。
新加坡金融管理局(Monetary Authority of Singapore)首次表态,该局期望银行公平对待所有受影响客户。华侨银行表示会进行彻查,找出银行程序中的缺失并采取必要补救措施。在银行完成检讨后,金管局将考虑采取适当的监管措施。
