钓鱼简讯骗子快手法 华侨用户:什么都没做就被盗转数千元
CodingTree • • 1543 次浏览https://www.8world.com/singapore/ocbc-phishing-scam-1694821
华侨银行客户钓鱼简讯骗案仍在扩散,陆续有更多受害者中招。有受害者现身说法,收到疑似骗子连串简讯,什么都没做,短短一分钟就被转走2600新元,连要打电话叫银行喊停的时间都没有。
这名匿名受害者告诉《8视界新闻网》,她是在去年12月23日早上9点25分时突然收到一连串相信是冒充华侨银行的骗子所发来的简讯,要求她提供一次性密码,跟着又停用(Deactivate)和激活(Activate)她的OneToken密码器。
这连串动作都是在短短一分钟内发生,女事主也说,她当时并没有在进行任何交易或点击任何链接,却在9点26分时发现自己银行2600元被一家公司转走。
“我之后马上打电话给华侨银行,停止我所有银行服务,也把所有的卡都换了,并叫银行重启(Reset)我的OneToken,但钱已经无缘无故被扣掉了。”
事主:密码器在从别处被激活
女事主强调,自己跟这个公司根本没有任何瓜葛,不知道对方是如何将自己的钱转走,她之后上网去查这家公司的背景,是一家从事汇款的公司,打电话去质问,公司承认这笔钱的确已转入他们账户,却坚称是他们一名客户转入,需要跟后者确认才能退款。
该名客户后来说会让公司将钱退还给她,但等了一整天都没收到钱,她再打电话到公司追问,对方又说已经把钱退回给客户,所以无法直接把钱退还给她。
女事主说,基于有关案件已经交由当局调查,因此不方便透露公司名字。
她也说,由于钱已经从她的账户被转走,华侨银行无法帮她追回,只能查到密码器是从别处被激活,而不是在她的家,警方目前也还在调查,让她静候消息。
“可能我的每日交易上限放3000新元所以才没转更多,如果我放高的话可能不得了”,并呼吁“希望大家也小心就好,每日交易上限没什么用别放太高”。
警方:陆续仍有受骗华侨银行用户报案
警方也证实,自去年12月29日有469华侨银行用户坠入钓鱼简讯骗局之后,目前仍然有民众陆续因类似案件前来报案。
而华侨银行企业安全部主管法兰西斯科(Francisco Celio)在回复《8视界新闻网》时也承认,近期钓鱼简讯骗局犯案来势汹汹,手段防不胜防,银行在去年12月发现报案人数有所激增后,就通过多个渠道向客户发出警告和提醒。
华侨银行:成立专门团队 助客户应对骗案
法兰西斯科也再次呼吁民众提高警觉,避免将银行账户讯息透露给未经核实的网站。他补充,尽管银行事后会尽快帮助客户追回被骗款项,但也同时提醒,一旦钱离开客户账户,追回可能性非常低。
法兰西斯科也说,银行已向受影响的客户提供帮助,并专门成立了一个的团队来帮助客户度过这个困难的时期。他表示,随着诈骗集团不断使用新的手段来进行骗局,银行也将陆续采取更多措施来防范。
-
CodingTree 楼主#1
事主:密码器在从别处被激活digital token 危害巨大。
老早提醒银行和警方,就是不处理。
精英治国,精英在哪里?
这里的银行专家们,当时为何如此维护digital token? -
#2
我不觉得这位受害者说的是实话如果什么都不做钱就能被转走,那ocbc可以考虑关门了。
通常这种情况下,受害者会隐瞒一些对自己不利的情节,以掩盖自己的愚蠢。 -
#3
是在打自己脸吗?“ 密码器是从别处被激活,而不是在她的家”
这个明显是指实体 token. -
#4
应该是手机token,要不ocbc不会知道token激活的地理位置的xmlzj
-
#5
是有人冒充她申请了实体 token,寄到其它地址啊。
-
#6
文章不是写的很清楚吗?被激活的是One token。就是ocbc的digital token。哪来的实体token.
-
#7
有可能撒谎了,也有可能手机中毒了,自动后台上传短信,电话等等内容。也有可能Sim卡被复制了,本人收到短信的同时,骗子也收到了。
-
#8
onetoken 是装在手机上的https://www.ocbc.com/personal-banking/digital-banking/onetoken
这名匿名受害者告诉《8视界新闻网》,她是在去年12月23日早上9点25分时突然收到一连串相信是冒充华侨银行的骗子所发来的简讯,要求她提供一次性密码,跟着又停用(Deactivate)和激活(Activate)她的OneToken密码器。 -
#9
我还以为 onetoken 是有实体的。
-
CodingTree 楼主#10
为什么不可能是银行系统有问题呢?大家这么相信IT系统?
不久前阿里员工不是发现了史诗级的IT漏洞了吗?
我们做代码的,发现这种漏洞是太常见了。
门外汉们倒是很迷信,哈哈哈~~ -
CodingTree 楼主#11
最终将证明是你打自己脸。。。我曾经打个电话,回答一些简单问题就把hardware token 换成了digital token。
我惊讶之余问银行职员,怎么这么容易就可以做这种转换,他们就蛋蛋的说这是流程。
你跪在银行高贵的门前太久了,已经没有膝盖站起来了,心疼你一下。 -
#12
为什么最近被骗的都是OCBC,好像没听说其他银行的是不是OCBC的系统或者流程有漏洞
-
CodingTree 楼主#13
我相信骗子肯定也是有尝试攻击其他银行的前段时间dbs趴窝3天。
cimb趴窝三天。
可能是IT系统发现异常,搞不定,于是通过趴窝的方式杜绝攻击。
这也不失为最后一道防线。
我看ocbc连最后一条内裤都没有了,估计它应该要付全责。 -
#14
如果已经拿到token的控制权的话
那应该很容易改每天上限啊
-
#15
肯定是ocbc有漏洞
-
CodingTree 楼主#16
应该是digital token被骗子复制了推测ocbc系统有巨大漏洞。
这次ocbc底裤被扒光了。 -
CodingTree 楼主#17
看到这个新闻后,赶紧把所有银行所有账号的limit调降,甚至禁止这个漏洞太可怕。。。
-
#18
赶紧关闭所有网上银行户头。
-
#19
傻白甜把钱存银行, 您这每天发现银行漏洞的人,居然存银行?!
-
CodingTree 楼主#20
赶紧去跪银行说不定他们有些面包屑
文章都没看懂就忙着帮主人护驾,这是真的忠诚啊,赞一个!~~ -
CodingTree 楼主#21
难道存你家??银行集体垄断,集体白痴,咱这个小民只能吐槽无力改变。
哪像你们人多势众,就是傻也不怕被酸~~ -
#22
我不是 OCBC 用户,不知道 OneToken 是个啥玩意儿。看那中文描述成什么密码器,以为是个实体 token,仅此而已。
至于为什么别人会知道事主的网银账号来激活 token,那就不知道了。 -
#23
手机系统是不是android?
-
CodingTree 楼主#24
两种系统都可能被入侵但是android概率大些,因为比较开放。
-
#25
银行系统当然有可能有漏洞但是在银行it系统和这几位受害者之间,我选择相信银行。
大家有没有注意到,每次这种骗局,受害者都是文化程度不高的人,什么卖肉干的,家庭主妇等等,事后的描述也不清不楚的。什么时候能把码农级别的人骗了,那确实就是有漏洞了。 -
#26
虽然我也觉得OCBC该付一定的责任不过根据这边报道 - 若无法证明是银行漏洞或疏失 受害者难向银行追究责任
哎,人为刀俎,我为鱼肉,我们普通小老百姓真可怜
https://www.zaobao.com.sg/news/singapore/story20211231-1228087 -
#27
Straits times上报道的被偷$250K的是个
Software engineer
不一定it的但也没那么差
关键这些sms短消息会出现在ocbc的信息群里面,之前的信息都是真的ocbc,混一条骗子的确实难分辨
以后那些银行的信用卡促销消息也要小心了。都是带链接的
-
CodingTree 楼主#28
银行系统是服务全社会的,不只是码农你的这个凡事精英主义的思路要改,否则要是你当政了全民倒霉。
-
CodingTree 楼主#29
若无法证明是银行漏洞或疏失这个很难讲。
让普通人去挖银行系统内的bug,那是故意刁难。
只有ocbc客户被大规模骗,这个隐喻着它本身有重大问题。
要是MAS不能查出问题,那么问题就大了。
要么MAS规定有漏洞或者监督马虎。
要么ocbc系统粗制滥造。
普通大众不应该为此背锅,否则政治上会有极大后果。
一帮蠢蛋都应该滚蛋,让真正的聪明人有责任感的人来做事。 -
#30
感觉狮城帮评论是越来越对人不对事了
这事情明显ocbc,电信商,甚至监管的mas有很大的问题
被骗几个人也就算了,被骗那么多人,里面不乏一些年轻人,本不该上当受骗的人
讨厌某个人所以只要是他的评论都否决??盯着钢?
真是没有理智的人
-
#31
感觉银行重点服务于business,而非小民。。。。。
-
#32
昨天ST新闻有被骗$120K的SINGAPORE - It took a man and his wife five years to save about $120,000, but in just 30 minutes, scammers using a fake text message stole the money they had kept in their OCBC Bank joint savings account.
https://www.straitstimes.com/singapore/courts-crime/ocbc-bank-customer-lost-120k-in-fake-text-message-scam-another-had-250k-stolen -
#33
目前的认证方式,这种骗术必须得户主自己防护住网上认证全都通过了,包括digital/hardware token认证,都是户主提供给骗子的。
要防得住只能强制其他非文本输入方式认证,比如使用USB证书设备、指纹认证、声纹认证、人脸识别等等。但是部署成本高,用户有使用门槛。 -
#34
今天又收到了网站换了一个
Domain Name: HELP-OC.COM
Registry Domain ID: 2666953105_DOMAIN_COM-VRSN
Registrar WHOIS Server: whois.eranet.com
Registrar URL: http://www.eranet.com
Updated Date: 2022-01-09T00:41:40Z
Creation Date: 2022-01-09T00:32:15Z
Registry Expiry Date: 2023-01-09T00:32:15Z
Registrar: Eranet International Limited
Registrar IANA ID: 1868
Registrar Abuse Contact Email: [email protected]
Registrar Abuse Contact Phone: +85239995400
Domain Status: clientTransferProhibited https://icann.org/epp#clientTransferProhibited
Name Server: BINGO.NS.CLOUDFLARE.COM
Name Server: KIP.NS.CLOUDFLARE.COM
DNSSEC: unsigned
-
#35
我错了使用指纹认证、声纹认证、人脸识别这些单向认证的方式,理论上也是可以被骗子复制的。
唯一不能被复制的就是用USB证书认证,只要USB证书设备是双向认证的,USB证书设备就可以发现对方是假网站然后拒绝签名。 -
#36
以前国内银行用的就是usb但是手机端没法用
-
#37
最大的问题是骗子可以随意改
短信发送者名称,来电显示名称
导致moh的电话联系估计谁都是直接挂掉了
现在银行的短信也是没法信了
如果来电显示,短信是几十年前的技术,所以破解很容易的话
,那就升级系统啊
关键还是电信公司反正没损失,
而有损失的银行,政府机构又管不到电信那里
-
#38
另外被骗的几个大的
估计都是为了ocbc 360的利息。否则不会有人在活期账户放那么多钱
还是别放活期那么多钱了。太容易被转走了
信用卡诈骗还有顶限,相对容易追回
这转账的诈骗银行真的太不负责任了
-
CodingTree 楼主#39
钓鱼简讯骗子快手法 华侨用户:什么都没做就被盗转数千元
https://www.8world.com/singapore/ocbc-phishing-scam-1694821
华侨银行客户钓鱼简讯骗案仍在扩散,陆续有更多受害者中招。有受害者现身说法,收到疑似骗子连串简讯,什么都没做,短短一分钟就被转走2600新元,连要打电话叫银行喊停的时间都没有。
这名匿名受害者告诉《8视界新闻网》,她是在去年12月23日早上9点25分时突然收到一连串相信是冒充华侨银行的骗子所发来的简讯,要求她提供一次性密码,跟着又停用(Deactivate)和激活(Activate)她的OneToken密码器。
这连串动作都是在短短一分钟内发生,女事主也说,她当时并没有在进行任何交易或点击任何链接,却在9点26分时发现自己银行2600元被一家公司转走。
“我之后马上打电话给华侨银行,停止我所有银行服务,也把所有的卡都换了,并叫银行重启(Reset)我的OneToken,但钱已经无缘无故被扣掉了。”
事主:密码器在从别处被激活
女事主强调,自己跟这个公司根本没有任何瓜葛,不知道对方是如何将自己的钱转走,她之后上网去查这家公司的背景,是一家从事汇款的公司,打电话去质问,公司承认这笔钱的确已转入他们账户,却坚称是他们一名客户转入,需要跟后者确认才能退款。
该名客户后来说会让公司将钱退还给她,但等了一整天都没收到钱,她再打电话到公司追问,对方又说已经把钱退回给客户,所以无法直接把钱退还给她。
女事主说,基于有关案件已经交由当局调查,因此不方便透露公司名字。
她也说,由于钱已经从她的账户被转走,华侨银行无法帮她追回,只能查到密码器是从别处被激活,而不是在她的家,警方目前也还在调查,让她静候消息。
“可能我的每日交易上限放3000新元所以才没转更多,如果我放高的话可能不得了”,并呼吁“希望大家也小心就好,每日交易上限没什么用别放太高”。
警方:陆续仍有受骗华侨银行用户报案
警方也证实,自去年12月29日有469华侨银行用户坠入钓鱼简讯骗局之后,目前仍然有民众陆续因类似案件前来报案。
而华侨银行企业安全部主管法兰西斯科(Francisco Celio)在回复《8视界新闻网》时也承认,近期钓鱼简讯骗局犯案来势汹汹,手段防不胜防,银行在去年12月发现报案人数有所激增后,就通过多个渠道向客户发出警告和提醒。
华侨银行:成立专门团队 助客户应对骗案
法兰西斯科也再次呼吁民众提高警觉,避免将银行账户讯息透露给未经核实的网站。他补充,尽管银行事后会尽快帮助客户追回被骗款项,但也同时提醒,一旦钱离开客户账户,追回可能性非常低。
法兰西斯科也说,银行已向受影响的客户提供帮助,并专门成立了一个的团队来帮助客户度过这个困难的时期。他表示,随着诈骗集团不断使用新的手段来进行骗局,银行也将陆续采取更多措施来防范。
该帖荣获当日十大第2,奖励楼主18分以及27狮城帮币,时间:2022-01-08 22:00:04。该帖荣获当日十大第1,奖励楼主25分以及37狮城帮币,时间:2022-01-09 22:00:01。该帖荣获当日十大第8,奖励楼主4分以及6狮城帮币,时间:2022-01-10 22:00:14。
-
CodingTree 楼主#40
诈骗分子每天都在追踪最近技术官僚们则躺倒在历史里。
反正出了问题可以怪到历史怪到系统,就是怪不到他们自己。。。
有点腐朽的感觉了,再观察一下腐朽有多快。 -
CodingTree 楼主#41
银行的漏洞就在于用不安全的方法验证用户身份和传递信息银行的系统设计问题导致客户损失。那当然要算银行责任。
否则银行找些小学毕业生的设计系统,客户损失了也算客户的吗? -
CodingTree 楼主#42
你要注意到有个案子,用户完全没有任何操作他的钱也被转走了。
你不能用一个案子去推导所有案子。 -
#43
呵呵。。。。。。
-
#44
OCBC 是明显的不对现在什么都要方便,但是有些部分,比如改地址,改电话号码,银行应该坚持本人带身份证都银行更改,以后减少人工服务,但是人工智能机器又也应该可以提供同样的服务,起码,到现场的时候是有闭路电视录像的。
其他银行如Uob,改电话号码是需要带身份证到银行现场申请的,还要2天左右才能更改。
这ocbc ,这么容易什么都网上,手机上完成,给骗子很大的利用空间。
还有uob, 改转账上限,以前是不能随便改的,现在在手机上随便改,还不需要再输入one time pin . 建议银行,如果进行每一个新的任务都需要重新输入新的one time pin, 起码不会因为一次的失误而整个户口被人完全操纵,而受害人马上可以警觉,为什么有人在我户口改动这么多东西。
我坚持用token ,现在还可以用.有的时候,手机并不是可以完全相信的东西。万一手机被入侵, 万一手机不见了,我是否就跟我的户口不能联系上了?但是如果有token , 我还可以继续登录户口。
如果银行骗案继续增加,可能我们是否需要回去以前相对落后但是安全的方法,不做电子银行转账,自己只做ATM转账,或者写支票好了。
以前都是柜台人员识别老太太转账被骗,现在是年轻人中年人都被人利用高科技骗人。
还是内地的银行比较好,用USB U盾,虽然麻烦,但是安全安心,插入u盾,直接去银行网站,不会去到假的网站。
转钱也需要在u盾上按确认。
这里的银行非要撤销token , 也是服了他们。 -
#45
我的ocbc还在坚持使用token当年DBS转成digital token后,仔细想想总觉得不安全,怕手机丢了短信验证,邮件验证跟着手机一起没了。OCBC就一直使用physical token,但登录时总是让我转成digital token,也不知道还能用多久就要被强制转换了。
-
#46
不知道改号程序,那也不是ocbc的客户,没有使用ocbc的经验,做啥子总[…]结啊
-
#47
如果短信验证码有漏洞
那就先停了,回去原来的物理token
有些敏感操作需要去柜台办理
一句你被骗你的事不关我的事,关键还不是个案。完全不负责任的表现
或许人只care高端用户。你们这些屁民那么点小钱别来烦我
我只保证有钱人的账户
-
#48
另外骗子真的可以做到短消息可以伪装成官方的短消息
这真的是一件很恐怖的事情
上面的消息都是官方ocbc的,里面掺几条骗子的
现在电话基本废了。号称是政府部门,警察局,moh等等等等都是直接挂掉的了
以后moh发来的短消息也要注意了?链接还点不点?疫苗还预约不?
短信真的已经可以做到这一步了?
-
#49
销户ocbc保平安了只能其它银行没这么掉链子
-
#50
忘记说了,不是新加坡,是国内网银新加坡从来没有网银盾,只有离线token