菲网银系统遭黑客欺诈，BDO承诺赔损，UNION急冻涉事账户

从本周开始，菲律宾的社交媒体社区内，开始浮现大量关于BDO银行遭遇黑客入侵的投诉帖子，有部分客户表示，自己开设的BDO帐户被黑客犯罪分子入侵，每个帐户窃取25000至50000不等的金额。
　　

　　初步信息显示，这是网络攻击诈骗的一种形式，账户持有人被骗以验证他们在 BDO中拥有账户，但被骗资金转移到的账户都是UnionBank（联合银行）账户。
　　根据受害者的说法，来自BDO的现金，未经自己授权的情况下，被转移给骗子的联合银行账户。
　　

　　许多受害者群体已经浮出水面，他们在脸书上组成了一个受害者声援群组，群组成员们分享了他们对所发生事件的经历。
　　多名受害群组的成员表示，这不是网络钓鱼攻击，成员们保证，他们中的任何人都没有点击消息、短信或电子邮件中的链接，即网络黑客无法通过钓鱼手段获得他们的详细信息，即便如此，自己账户内的金额仍然莫名减少。

　　群组中的一名受害者 James Sarmiento是最早报告该事件的受害者之一，他说他在 12 月 9 日凌晨 3 点左右损失了10万比索。

　　

　　“总而言之，我们都有未经授权的交易，从我们的BDO账户到另一个银行账户——Unionbank 账户，而且还在继续。”
　　在脸书的聊天中，Sarmiento 说：“令人担忧的是，我们非常确定这些是 BDO 方面的安全漏洞，而不是由于我们的疏忽。”


　　当被问及为什么他确定这不是网络钓鱼攻击时，他提出如下佐证：

1：我们从未收到任何有人登录我们帐户的OTP（一次性密码）。
　　2：我们中的一些人在没有收到 SMS 短信提示或 OTP 的情况下收到了添加新设备或更改密码的电子邮件警报，这些警报与资金转移通知一起出现。
　　3：我们中的一些人收取的费用超过了我们的每日限额 50K。
　　4：最后，我们不是网络钓鱼和点击垃圾邮件链接的受害者。我是一名 IT 专业人士，我们小组的一名成员是经验丰富的网络安全专业人士。我们希望人们知道我们知道这些骗局，
　　

　　另据当地科技媒体（TECHNEWS）从可靠来源收到消息称，12 月 11 日，UnionBank的某接受转账的账户，被用来从加密货币市场购买价值超过500万比索的比特币。
　　从这场网络黑客事件中，各位读者可以看到，黑客们的经验很丰富，选择在周末诈骗洗劫账户，然后用来购买匿名数字货币，他们擅长做这件事，因为黑客们知道投诉通常是在办公时间处理的。
　　

　　额外说一句，UNIONBANK是菲律宾知名的银行之一，同时也是网络犯罪分子最喜欢的银行，因为它的交易没有限制。
　　默认情况下，账户持有人每天最多可以转账50万比索，但您可以随时将其更改为您选择的金额，此外源于联合银行对于数字货币的友好政策，整个数字货币圈都知道这一点，这也是网络黑客倾向于将该银行作为中转洗钱账户使用的重要原因。
　　从某种角度而言，联合银行的账户，是众多网络犯罪分子的中途岛，通过账户交易比特币或其他匿名的数字货币，从而将窃取来的资金，成功带出菲律宾，隐匿于浩瀚的网络之中。
　　根据众多报案人提供的信息，网络安全专家倾向于认为，这是一次利用某种未知系统漏洞，似乎能够轻松绕过以前被认为是铁一般的安全措施，如OTP，SMS，发起针对 BDO 的网络安全攻击。
面对用户对于菲律宾银行的网络安全质疑，菲律宾央行行长周日表示，菲律宾央行正在监测一些社交媒体用户对银行账户被盗的投诉激增，并与涉事的两家银行进行沟通，通过包赔和冻结账户等措施解决这一问题。
央行行长本杰明·迪奥克诺 (Benjamin Diokno) 表示，将尽一切努力确保金融体系的安全和完整性，以及保护金融消费者。


BDO在一份声明中表示，正在调查每个案件并将对受影响的人做出回应，并承诺对于因黑客攻击造成的储户损失，提供赔偿。
同时作为紧急预案，已强制所有用户统一更改BDO网银的密码，减少因为数据库漏洞产生的攻击风险。

而联合银行总裁埃德温·包蒂斯塔 (Edwin Bautista) 告诉媒体，其客户账户是从BDO账户接收资金的银行之一。
包蒂斯塔说，有不到10 个从 BDO 账户接收资金的联合银行账户已经被冻结，并补充说银行正在对允许使用其账户进行犯罪活动的用户，采取法律措施。
截止周日晚间发稿为止，两家银行尚未能够估计有多少资金被非法转移及购买数字货币。
如何防范潜在的网银使用风险，菲律宾银行家协会敦促菲律宾的网银用户“鉴于我们周围的网络犯罪事件数量不断增加，要更加警惕”。


防范措施包括如下几条：

1：永远不将您的个人信息（例如一次性密码）提供给其他人，您将永远不会成为网络犯罪的受害者。

2：对于做生意的储户来说，收款账号和大额资金账号分开，网络犯罪分子容易通过各种渠道，拼凑完整你的个人信息+账户信息，发起攻击，试图窃取您的财富，因此做到大额资金账户信息不对外公开，避免被社工。
3：定期更换密码，检查自己的账户设置，确保自己网银密码与其他社交媒体的密保不一样，避免撞库。
4：经常阅读银行的安全升级提示，毕竟网络攻防是此长彼消的长期过程，在社交媒体上关注您的银行，同时关注银行发来的邮件提醒，及时升级网银版本或安全补丁。

5：一旦遭遇网银诈骗，需立即向银行和警方报告网络犯罪事件，打击网络犯罪分子不仅让你受益，也让其他人受益，因为这些犯罪分子将不再能够伤害更多储户。

---