专题

银行存款被盗提究竟应该由谁来买单?

这一两年来,银行盗提案件频传,受害者为了辛苦打拼却被盗提的血汗钱,勇于站出来面对媒体和大众,谴责银行辜负了他们的信任,没有保护好他们的钱财,也激起网民情绪,将这案件推上舆论浪尖。然而,银行盗提案件,是否真的是银行的安全系统出现问题?安全的缺口到底出在哪?为什么国家银行不回应受害者的投诉?究竟谁应该为受害者负起责任?或许,我们应该从网路安全的专业认知,以及深入了解诈骗集团的手段,才得以有所解答。

随着网路科技普及化,助长网路诈骗集团的犯罪率,其中银行盗提案件亦不减反增。每天看新闻,都会看到诸如“理发师银行被盗提4万6000令吉”、“华裔女子误信诈骗电话,主动提供所有账户和信用卡资料,被盗取40万令吉”、“清洁服务骗局接获25宗投报,共被盗取17万3159令吉70仙”等报道。

事实上这些案例仅是冰山一角。

这些受害者想要拿回存款近乎很渺茫,各家银行也未表态对他们作出赔偿,使一些他们不得不透过媒体对银行、国行进行控诉,同时也掀起了网民谈论的热潮,自嘲是否应该将血汗钱藏进“milo”罐,有感银行的安全系统已不可信,甚至怀疑银行有“内鬼”,认为银行应该负起责任,赔偿受害者被盗取的血汗钱。

去年,在雪兰州州万达镇州议员服务中心及警方联合举办“别成为骗案受害者”论坛上,雪州商业罪案调查组主任阿兹曼助理总监曾指出,雪州从2022年1月至9月间,总共接获2711宗网络罪案的投报,其中73%为网络罪案,涉及金额高达9200万令吉。

本月20日,民主行动党实旦宾区国会议员张健仁建议政府强制银行为电子银行诈骗案的受害者承担财物损失,以迫使银行提升保安系统,从而减少电讯诈骗案。

网路安全的缺口到底在哪?

然而,银行存款被盗是否应该归咎于银行一方?存款被盗真的是银行的安全系统出了问题?

对此,LGSM创办人兼网路安全顾问冯宗福接受《访问》专访时有不同的想法。

“如果说银行系统安全出现问题,我就不同意了,因为你想象一下,如果银行有安全漏洞的话,被骇客盗取存款的,不只是这些受害者,而是所有人的户口都会被盗取。”

冯宗福网络安全风险评估分析,以及网络安全调查有24年经验,为这次的采访提供了专业的意见。(摄影:林静秀)

除此之外,冯宗福在公司成立了研究室,专做电脑犯罪调查,对于类似的案件,银行也会聘请他调查,而他也会与他的团队尝试扮演受害者接触诈骗集团,试图了解他们的手法,往往他都会发现银行被盗提的案件,大多数的缺口,都在于受害者不当使用网路和手机所致。

“目前为止,你也会发现这些受害者都是用安卓(Android)手机,其实安卓手机最大的问题就是,诈骗集团利用安卓手机的便利,把木马程序发送给受害者下载,这就是噩梦的开始,因为这木马程序可以读取他们的密码和短信资料。”

冯宗福说,这是诈骗集团一贯的手法,诱导受害者进入木马程序的手段或管道,往往从缺乏网路安全意识的民众下手。透过提供“康头”、吸引人的广告,或是掌握你个人信息发送邮件,引导你点击不明链接,或借助手机应用程式(APK)下载包转账,但他们却懵然不知这些小举动,早已中了木马程序,让骇客有机可乘,读取他们的验证码和账号密码,甚至是多家银行的帐号和密码。

诈骗集团透过木马程序窃取受害者的帐号和密码盗提存款,民众应谨慎勿点击可疑链接,以免中木马程序。(图片来源:Freepik)

举个例子,某商品原价是399令吉,现在只需要39令吉30仙便可购买,这康头会引起消费者的紧张情绪,赶紧按照诈骗集团的要求点击APK,再透过他们所提供的银行网站登入帐号和密码,通常会无法成功登入,若消费者再尝试登入其他银行帐号,也意味他们所有银行的帐号密码早已曝光。

然而,也有很多受害者有相同的经历:没有收到一次性密码(OTP)或转账验证码(TAC),钱却不知不觉被盗取,大家都认为,这是银行安全系统出了问题。

骇客的科技技术越来越先进

冯宗福表示,他尝试透过犯罪集团的木马程序,分析他们对科技的了解和能力,发现现今的诈骗集团,科技进化的程度迅速,且会随着科技的进步一直发展下去,相信未来诈骗的方式会更复杂,可信度更高。

“我们会尝试扮演受害者去接触他们,收集他们所用的木马程序,发现一个很恐怖的现象,以前的木马程序只可以读取用户的密码和短信资料,可是现在的木马程序还可以删除短信。”

“你可以想象趁你在半夜睡着的时候,诈骗分子有了你的密码,登入你的账户,银行会透过短信发送验证码给受害者,骇客得到验证码后,受害者的木马程序会把短信的验证码删除掉。”

如此说明了,为什么没有收到OTP或TAC,银行的存款却在不知不觉中被盗提。

从冯宗福的网路调查经验而言,目前骇客的木马程序进化速度迅速,相信未来的诈骗手法更为复杂,可信度更高。(图片来源: Freepik)

银行账号被盗应该由谁来买单?

诈骗集团是一个很专业的组织,他们有一整个完整的生产链,由不同的人各司其职,从设置假广告、网站、广告制作、研发木马程序、找钱驴(money mule),有效地完成不计其数的骗案。

再者,每一个诈骗的环节,他们都以各种隐秘的方式接触受害者,尤其利用钱驴的账户进行交易,然而银行每分每秒都有频繁的交易往来,难以辨别钱驴的账户。因此,要对诈骗集团一网打尽,或追踪并索回被盗提的钱财,近乎很渺茫。

为此,冯宗福呼吁使用安卓手机的民众要提高网路安全意识,勿下载google play store以外的应用程序,以及未得到证实的不明链接。同时,不要轻信任何银行、法院、警局的来电通知。民众应该提高网路安全的意识之外,国行和银行该为此负起什么责任?

他表示,面对类似的案例,他曾接受银行的委托进行调查,银行每个案件都会着手处理,但他们对外公开的文告不够透明化,与受害者的接洽不够积极,没有明确地向受害者交代清楚调查详情,以致受害者得不到任何解答。同时,银行一方应该及时冻结多次提款的可疑交易。

冯宗福提到,他们从不同的骗局中,发现木马程序的原始码都很相似,相信是同一个集团所为。(图片来源:Freepik)

另外,有的受害者向国行投诉,为什么却得不到回应?

对此,冯宗福表示,国行的职责不是处理民众的投诉,他们只是监督的角色,监管银行是否有加紧严控交易的安全性。如近期国行逐步取消短信传送OTP,鼓励银行和民众以其他传送方式是一个很好的例子。

“如果你要做认证的时候,对方发一个短信过来,木马程序可以轻易地读取短信资料,相反地,如果用另外一种程序来产生验证码,对诈骗分子来说,读取这程序的成本来得高,必须再重新做一个很完整的软件来读取。”

有的银行已经透过应用程序(apps)来发送OTP,或是个人专用的代码(token),只要按下密码便能产生验证码,一如近期华侨银行(OCBC)推出的一次性代码(One Token)。但两者的使用感都较为麻烦,apps需要安装、登入,token需要懂得使用和维护,且想要随时做交易就必须随身携带,虽然程序较为麻烦,却让我们的钱财得以安全严控。

华侨银行(OCBC)近期推出一次性代码(One Token),只要下载OCBC的应用程序,再活跃一次性代码。比起短信发送验证码,更能使骇客侵入的困难度增加,更为安全。(图片来源:OCBC的网站)

但这是否说明,用另一种生成方式,我们的钱财就能得到百分之百的安全保证?

正如冯宗福所言,我们要理解一个事实:“这世界上没有东西是“骇”不到的,只是在于诈骗集团需要花多少时间和成本。”

为此,我国都在积极对抗诈骗集团。近期,也传来好消息,我国成立了全国诈骗回应中心(NSRC),若民众受到诈骗威胁,可拨打997服务热线。该中心集结相关的资源,全国反金融罪案中心(NFCC)、通讯及多媒体委员会(MCMC)、皇家警察、国行、银行,以更快地采取行动,并尽可能追踪被盗的源头并进行冻结。

无论生活或工作,网路交易确实为我们带来许多便利,但有利亦有弊,诈骗集团看准交易的便利性,轻易地、毫无声息地盗提民众的血汗钱。除了警方、国行、银行需要加紧配合和严控网路安全,民众在使用网路便利的同时,也需要懂得如何安全使用网路和交易往来。

版权声明 本文或视频乃原创内容,版权属《访问》网站所有,未经允许不得随意转载,否则将视为侵权;若转载或引用本文内容或视频,请注明出处来源及原作者;不遵守此声明或违法使用本文内容或视频者,本网站将保留依法追究权利。
分享文章

您觉得这篇文如何?

评级 4 / 5. 评分人数: 14

觉得我们的文章不错的话

请订阅我们的频道

请告知我们可以改进的地方

林静秀

林静秀是访问网特约记者。是个自律自由文字生产者。教华文作文,写过纪录片、电视剧剧本、广告短片。

我有话说
加入会员追踪您喜欢的作者,
或收藏文章稍后阅读