学联防诈小课堂第二课 | 邮件、短信钓鱼诈骗篇




邮件/短信

钓鱼链接诈骗

学联防范诈骗小讲堂




| 什么是钓鱼网站|


钓鱼网站是指欺骗用户的虚假网站。“钓鱼网站”的页面与真实网站界面基本一致,欺骗消费者或者窃取访问者提交的账号和密码信息。钓鱼网站一般只有一个或几个页面,和真实网站差别细微。钓鱼网站是互联网中最常碰到的一种诈骗方式,通常伪装成银行及电子商务、窃取用户提交的银行账号、密码等私密信息的网站。



“网络钓鱼”(Phishing)一词,是“Fishing”和“Phone”的综合体,由于早期的黑客起初是以电话作案,所以用“Ph”来取代“F”,创造了“Phishing”,Phishing的发音与Fishing相同。网络钓鱼其实就是网络上众多诱骗手法之中的一种,由于它的手段基本就是通过网络,用一些诱饵(如假冒的网站)静静等待使用者上当,很像现实生活中的钓鱼过程,所以就被称之为“网络钓鱼”。



| 相关案例 |


案例一

针对安卓用户钓鱼骗案 113人被骗逾44万元

《联合早报》 2023年4月13日 星期四

新闻关键词:安卓手机、脸书和Instagram、广告、卖家、下载应用链接、应用商店(Google Play)、恶意软件或病毒、钓鱼

涉及国家:新加坡


新加坡警察部队星期四(4月13日)发文告说,受害者一般会在安卓手机的脸书和Instagram社交平台,收到有关上门服务(如清洁、女佣或宠物美容等)或售卖榴梿等食物的广告。受害者如果联系“卖家”,对方就会发出一个链接,引导受害者点击下载应用,接着指示他们在虚假的网络银行页面上输入个人和银行资料。应用里头藏有恶意软件,在受害者不知情下,把他们手机内的银行资料和短信转发给骗子。受害者一般在发现银行户头或信用卡出现未经授权的交易时,才意识到自己受骗。警方提醒,诈骗团伙会引导受害者下载应用商店(Google Play)以外的应用(或称“安卓套件”,APK),公众应保持警惕,切勿从其他管道或可疑网站下载应用。警方建议公众在下载文件时,应直接从官方应用商店和经验证的来源下载应用,确保不含恶意软件或病毒;所有电子设备应安装防毒软件,以及恶意软件清除工具;确保电子设备的操作系统和应用定期更新,以受到最新安全补丁的保护。

左图:诈骗团伙会发出链接,引导受害者点击下载应用程序。右图:在虚假的银行网页上,骗子指示受害者输入个人和银行资料。(新加坡警察部队提供)


 

案例二

假网站卖动物园门票 万态保育集团促公众勿上当

《联合早报》 2023年4月05日 星期三

新闻关键词:动物园门票、万态保育集团、钓鱼链接

涉及国家:新加坡


万态保育集团星期三(4月5日)在脸书贴文说,他们注意到有假网站冒充万态保育集团,以10元的优惠价出售动物园门票,集团已向有关当局通报。集团提醒公众切勿上当受骗,不要向这些未获授权的钓鱼网站提供个人信息或付款细节,也不要在社交媒体上分享钓鱼链接。有意购买门票的公众,可上官网或经由授权的旅行社买票。

(取自万态保育集团脸书)



 案例三

冒充税务局称要补缴印花税 当局提醒公众慎防诈骗

《联合早报》 2023年2月22日 星期三

新闻关键词:印花税、税务局、钓鱼诈骗电邮、国内税务总监、信用卡、银行户头

涉及国家:新加坡


税务局星期三(2月22日)发文告说,当局接到通知指近来出现一个冒充税务局的钓鱼诈骗电邮。电邮声称公众需要补缴印花税,并指示公众将款项转账至一个由“国内税务总监”持有的第三方账户。税务局提醒公众,切勿提供任何信用卡、银行户头等个人信息,不要向第三方银行户头汇款,也不要按照诈骗邮件内容支付任何款项。如果已经透露个人信息或进行转账,应及时向警方报案。

(新加坡国内税务局提供)



案例四

冒陆交局吁缴罚单 钓鱼短信骗逾55万元

《联合早报》 2023年1月11日 星期三

新闻关键词:陆交局、钓鱼短信、罚单未缴

涉及国家:新加坡


新加坡警察部队星期二(1月10日)发出文告,指不法之徒会冒充陆交局,发短信告知公众他们有罚单未缴。此外,短信中还会发出带有欺诈性的URL链接,受害者一旦点击链接,就会被引导到欺诈网站,并被要求提供信用卡或借记卡(debit card)的详细信息和一次性密码(OTP)。受害者往往在发现信用卡或借记卡出现未经授权的交易后,才会意识到自己上当。当局强调,陆交局不会通过短信发送URL网址链接来催收有关罚单、车牌注册,或执照相关的费用。

左图:不法之徒冒充陆交局,发出短信行骗。 右图:骗子会向受害者索取一次性密码和其他个人资料。(警方提供)



案例五

网络钓鱼骗案又有新招 冒警诱受害者填谷歌表格

《联合早报》 2022年12月07日 星期三

新闻关键词:假冒警方、领取礼券、谷歌表格、警察部队的标志、下载恶意软件、非官方来源、不明链接

涉及国家:新加坡


新加坡警察部队星期三(12月7日)发文告说,又有钓鱼诈骗手法假冒警方行骗,吁请民众提防。骗子会先发出电邮,让受害者点击电邮里的链接来领取礼券,实际上受害者需要填写银行卡资料、安全码和一次性密码。受害者的银行卡过后就会出现一笔转账记录。接着,骗子就会假冒银行人员联络受害者,并且提供一个谷歌表格的网络链接,让受害者填入个人资料以报警。表格上方附有新加坡警察部队的标志,提交后还会生成假的报案号码,几可乱真。假冒的银行人员在博取受害者的信任后,还会继续以其他方式行骗,包括怂恿受害者下载恶意软件,以此骇入受害者的电脑,并登录线上银行户口,进行转账。警方提醒民众,不要点击非官方来源的不明链接,应该向官方网站或渠道验证链接的真实性。民众也该保持冷静,不要听从指示在电脑上输入命令或安装软件。警方也重申,不会通过谷歌表格要求民众报案或提供诈骗信息。

骗子会假冒银行人员联络受害者,并且提供一个谷歌表格的网络链接,让受害者填入个人资料以报警。(新加坡警察部队提供)

提交表格后还会生成假的报案号码,几可乱真。(新加坡警察部队提供)



案例六

假冒陆交局发钓鱼短信 至少112人被骗逾13万元

《联合早报》 2022年11月18日 星期五

新闻关键词:陆交局、“ERP”(公路电子收费)、钓鱼链接、虚假网站、信用卡或转账卡信息、未缴付的罚款或账单

涉及国家:新加坡


新加坡警察部队星期五(11月18日)发文告说,从10月13日至今,警方已接获至少112起报案,指骗子假冒陆交局以“ERP”(公路电子收费)为名发出的钓鱼短信,涉案金额至少13万3000元。受害者一般会收到以陆交局的名义发出的钓鱼短信,称受害者有尚未缴付的罚款或账单。受害者点击短信中附上的钓鱼链接后,就会跳转到看似陆交局网页的虚假网站,接着被要求输入信用卡或转账卡信息和一次性密码。当受害者在发现自己的信用卡或转账卡有未经授权的交易后,才察觉自己受骗。警方提醒,陆交局不会在有关违例通知、车辆登记及牌照事宜的短信内,要求公众通过链接缴费。另外,公众应该避免点击任何来历不明的链接、不要向任何人透露银行户头资料及一次性密码、通过官方网站核实消息的真实性,以及在发现未经授权的交易时,立刻通知银行。

受害者点击钓鱼链接后,会跳转到虚假网站,被要求输入信用卡或转账卡信息,以及一次性密码。(警方提供)

骗子假冒陆路交通管理局发送钓鱼短信,指受害者有尚未缴付的罚款或账单,已接获至少112起报案骗受害者点击链接(警方提供)


案例七

利用钓鱼短信获取Singpass资料骗案增加 当局吁民众提防

《联合早报》 2022年10月02日 星期日

新闻关键词:钓鱼短信、Singpass、双重认证(2FA)、一次性密码

涉及国家:新加坡


警方星期日(10月2日)发文告说,当局发现近日利用钓鱼短信来骗取Singpass登入资料的骗局有所增加,提醒民众小心提防。根据文告,在这类骗案中,受害者一般会收到来历不明的短信,指收件人的Singpass账户已经或将要停用,并要求收件人进行脸部认证。发送者身份往往会显示与Singpass相似的名字,如My Singpass和SGSingPass等。对方要求受害者点击短信中附上的链接登入Singpass,一旦点击链接,就会跳转到冒充Singpass的网页,要求输入相关资料和密码。完成后会出现双重认证(2FA)的页面,让受害者输入一次性密码。当受害者收到Singpass的通知,指个人资料被更改时才意识到自己受骗。在一些案件中,受害者会收到他们申请银行户头和信用卡的通知,信用卡也可能被用来进行未经授权的交易。

(警方提供)



案例八

469人坠钓鱼短信骗局华侨银行客户一个月被骗走850万元

《联合早报》 2021年12月31日 星期五

新闻关键词:469人受害、钓鱼短信、改号欺诈(number spoofing)、850万元损失

涉及国家:新加坡


不法分子近来利用改号欺诈(number spoofing)的方式诈骗华侨银行的用户,银行透露,单在圣诞节周末(24日至26日)的三天内,就有186名客户受骗,受骗金额达到270万元。从12月1日至29日,共有469名华侨银行客户坠入钓鱼短信骗局,被骗走高达850万元款项。网络安全专家提醒公众不要点击短信中的链接以免受害。受访律师指出,骗局若不是银行疏漏导致,受害者将难以通过法律途径追回失款。华侨银行用户近来遭受钓鱼短信(SMS)攻击,在银行客户手机的银行短信页面中插入诈骗短信,让客户难辨真假。受害者李礼恩(45岁)称接获短信时误信银行要他更新个人资料,察觉有异后立刻联络银行冻结户头,但已经被骗子先后两次从他与妻子的联名户头中转走了共6万7000元。

银行二度发文告提醒客户警惕此类骗局。(华侨银行提供)




| 总结及应对措施 |


  • 随着社会的发展,“疫苗接种认证”、“ETC禁用、欠费”之类的诈骗也越来越多。这类“网络钓鱼”诈骗早已演变成一个短信通道、包网服务、游戏代充、盗刷通道等多个黑灰产业链共同参与的产业,分工极其精细。可以说,你收到的这条钓鱼信息后面,是一大群骗子在配合。


  • 近年来,利用互联网实施的“钓鱼诈骗”案件主要呈现以下特点:

    1.从犯罪主体来看,人数众多,组织松散,呈现低龄化趋势;2.采用新型犯罪手段,技术性、隐蔽性强;3. 危害面广且后果严重。

  • 钓鱼网站的危害远超出人们的预想,广大网友在上网时,要保持高度警惕:不轻信陌生人,不随意点击不明链接,更不轻易给陌生人转账。在网购过程中收到陌生人发来的链接绝不要轻易点开,首先要分析信息的真实性,自己无法辨明信息真伪时,可以向身边的亲友咨询,若还是不清楚就应该及时报警拨打110。

  • 经过网络诈骗大数据分析,未来一段时间,网络诈骗还会呈现形式多样、结合个人信息精准行骗的状态。短信验证码是网上支付的关键,已经成为犯罪分子的主攻方向,骗子甚至用运营商的补换卡业务,窃取短信验证码;短网址、分享链接也在被恶意利用,通过网址跳转将受害者带到钓鱼网站上进行诈骗,网友应注意使用手机安全软件,对窃取短信验证码的手机木马和钓鱼网站进行拦截。


常见的几种钓鱼邮件

  • 非常明显的垃圾邮件,试图向你出售未经测试的保健产品,或来自一些野鸡大学或不存在大学的文凭,以及提供“代写”服务、“代发”论文、“野鸡”期刊论文约稿的垃圾邮件。

    应对:这些邮件让人讨厌,但是也算无害,直接毫不犹豫地删除就可以。

  • 钓鱼邮件,试图假装你的上级或领导,欺骗你为他们买东西、转账或获取你的个人信息。

    应对:这类邮件有时候看上去挺真的,这时候建议仔细查看发件人的电子邮箱地址(注意不是显示的发件人名字)。另外,如果有疑问,可以直接电话或邮件联系当事人核实情况(注意:不是通过同一封邮件的“回复”按钮)。

  • 钓鱼邮件,佯装政府部分、物流公司或银行。这类邮件通常看上去挺正规的,一般会要求你点击一个链接,并用你的账号和密码登录。实际上,只要你输入了你的账户信息,你的银行账户中的钱就会马上消失。

    应对:明智的做法是永远不要点击银行电子邮件中的链接。如有需要,最好直接访问银行的官方网站,在那里完成登录。

  • 钓鱼邮件,诱导你点击邮件中的链接之后,在你的计算机上安装恶意软件。这些邮件中的链接,有时候在你点击之后,在不需要任何额外确认的情况下,就可以对你计算机上的数据(甚至你所在单位的数据)进行加密。想要拿回数据,你往往需要向不法分子支付一笔大额的赎金(有时候,即便支付了赎金也拿不回数据的)。

    应对:不要点击来自不明邮件的任何链接!



新加坡报警电话:999
新加坡急救电话:995
新加坡反电信诈骗热线电话:1800-7226688
中国驻新加坡使馆领事保护与协助紧急求助电话:+65-64750165
外交部全球领事保护与服务应急呼叫中心电话:+86-10-12308或+86-10-65612308
非紧急事项咨询,请使用中国驻新加坡使馆微信公众号咨询平台(扫描下方二维码进入)。

往期精选

关于自新加坡前往中国旅客疫情防控要求的通知

叮咚~大家心心念念的学联招新来啦!

领事保护|中国留学生安全手册

留学,从兴国到强国!


感谢您对学联长期以来的支持和关心

长按图片即可扫描二维码关注我们


本篇文章来源于微信公众号: 新加坡中国学者学生联合会

上一篇
下一篇