網傳簡訊「銀行帳戶確認,請於72小時內點擊連結完成身分驗證」?
假冒玉山銀行簡訊的釣魚網址,若點擊連結個資恐外洩
詐騙案件層出不窮。近期有民眾收到手機簡訊,內容顯示為玉山銀行通知用戶需在72小時內點擊連結驗證身分。這是假冒玉山銀行簡訊的釣魚網址,若點擊連結,個資恐外洩。
一、玉山銀行表示,這是詐騙訊息,近期並無發送此類簡訊。
二、檢視網傳簡訊網址「esun.to」,並非玉山銀行官網網址「esunbank.com.tw」。透過註冊網域清單的資料庫「Whois」 查詢,該網址並非是玉山銀行註冊。
三、資安專家表示,傳言簡訊是仿造玉山銀行的釣魚簡訊內容,詐騙集團刻意用包括以「esun.to」的短網址造成混淆、仿造玉山銀行的登入畫面以及頁面的連結、刻意連結銀行的安全警告頁來增添真實感等,來偽冒官方公告。
四、165反詐騙諮詢專線提醒,傳言簡訊使用「72小時內」、「帳戶資料需驗證」、「確保帳戶正常使用」等字句,具備典型詐騙訊息特徵,目的是讓收件人緊張,並迅速點擊連結、填寫資料並完成相關程序,在時間壓力下漏掉求證步驟。
網傳簡訊冒名玉山銀行,所附連結為詐騙個人資料的釣魚網站,因此為「詐騙」訊息
背景
近期有民眾收到宣稱來自「玉山銀行」的簡訊通知,內容稱帳戶資料需進一步確認,要求收件者在72小時內點擊簡訊所附連結,進行身分驗證。
查核
查核點:傳言簡訊是否為玉山銀行所發布?
網傳簡訊並非玉山銀行發送,用戶應提防釣魚連結
經查詢玉山銀行官網公告、防詐騙專區,並詢問玉山銀行客服,均指出玉山銀行並未透過簡訊要求用戶點擊連結完成身分驗證。
玉山銀行也曾多次於官網公告,警示用戶慎防假冒的官方簡訊與釣魚連結,也不要隨意點擊簡訊網址輸入使用者名稱、密碼等認證資訊,防止個資外洩。
網傳簡訊所附連結並非玉山銀行官網,資安專家研判是釣魚網站
透過玉山銀行官網「防範詐騙專區」辨識玉山官方網址的功能,可以查出傳言簡訊所附連結,並非是玉山銀行官方網址。
檢視網傳網址「esun.to」雖與「玉山」英文名稱相似,但並非官方網站網域名,玉山銀行官方網站為「esunbank.com.tw」。玉山銀行官網的防範詐騙專區,也公告玉山銀行官方專用短網址為「esun.co」 或「esb.page.link」。
此外,透過註冊網域清單的資料庫「Whois」 查詢,可發現該網址並非是玉山銀行註冊。
資安專家劉彥伯受訪表示,傳言簡訊是仿造玉山銀行的釣魚簡訊內容,詐騙集團刻意用以下幾點來偽冒官方公告,包括以「esun.to」的短網址造成混淆、仿造玉山銀行的登入畫面以及頁面的連結、刻意連結銀行的安全警告頁來增添真實感等。
此外,劉彥伯表示,傳言簡訊連結點擊進入後的網頁,不管是填寫什麼資料,都可以成功進入下一個頁面。此外,假網站頁面的部分文字的連結點擊後,可以發現是無效的連結。
詐騙簡訊常見手法:以帳戶異常、驗證失敗為由,要求用戶點擊不明連結驗證身分
165反詐騙諮詢專線提醒,傳言簡訊具備典型詐騙訊息特徵,包括使用「72小時內」、「帳戶資料需驗證」、「確保帳戶正常使用」等字句,這是詐騙常用的手法,目的是讓收件人緊張,並迅速點擊連結、填寫資料並完成相關程序,在時間壓力下漏掉求證的步驟。
銀行通常不會透過簡訊要求點擊連結登入或驗證。這類網站屬於「釣魚網站」或意圖「竊取個資」。用戶點擊連結後應要求輸入帳號、密碼、OTP驗證碼、身分證號,就會被用於登入、盜用。
