警惕！收到银行邮件别轻信，防邮箱钓鱼盗你密码转走余额

张先生收到银行发来的邮件，他打开时深信不疑，依据里面的提示，对银行密码时钟予以“矫正”，两次输入密钥口令后，卡内的余额全都被转走了。记者昨从松江警方得知，3 月以来，上海松江警方接连收到多起此类新型邮件版“任意显”诈骗案件，被害人都是收到了山寨银行邮箱发来的邮件，点击打开嵌入木马的链接后就被盗取了密码。警方进行提醒，收到类似邮件务必要提高警惕，要是涉及要求输入卡号、密码的情况请先是致电或者前往银行咨询，不然会受骗。

“官方邮箱”发来网站链接

3月4日，张先生家住松江，他收到了某银行的一封电子邮件，在邮件当中，银行告知他银行密码时钟存在偏移，需要登录网址103.243.25.27:5858/dzmmq/lo－gin校验密码器，张先生仔细核对了发件邮箱，在确认和该银行官方邮箱一致之后，便放心了，“我觉得官方邮箱发来的东西是可信的”，张先生依照邮件内的步骤进行操作，打开了该银行官网，在页面输入了卡号、密码以及两次密钥口令，随后却发现卡内5413元被转走了。

同一个月的时候，居住在松江的徐先生，也收到了那家银行发送的、有着相似内容的电子邮件，邮件宣称他的电子密码器运行存在问题，需要登录103.243.25.22去修改密码。徐先生进行登录操作以后，输入了密钥口令，之后却发现银行卡里面的现金被自动转走了1218元，随后他选择了报警。

昨夜，记者尝试登录此处，即103.243.25.22 ，页面跳转至一主页 ，此主页与常见的银行模样极为相似 ，网页之上要求记者填入卡号 ，还要填入登录密码。然而 ，经仔细查看 ，实际的网址并非那家银行的官方网站 ，但要是市民们未进行细致辨别 ，极有可能被这般相似的页面给蒙蔽。

制造发件人地址“任意显”

自3月起，松江公安分局接报了多起类似案件，警方展开调查，发现嫌疑人伪造邮件发件人去伪装成银行官方邮箱，以此骗取被害人信任，经过查证，伪造的电子邮件中都带有钓鱼网站链接邮箱钓鱼，当点击进入该网站后，于是诱骗被害人输入银行卡账号，还有电子银行登录密码以及电子密码器产生的动态密码等信息。

为什么从称作“官方邮箱”的地方发来的邮件里面会存在非法的木马链接呢？针对这个情况，360互联网安全中心的专家给出了解释。360安全专家告知记者，从技术层面来讲，凭借邮箱自身所存在的漏洞，是能够很轻松地对发件人地址进行篡改的，而这在行业内部并不是什么困难的事情。不法分子利用简单邮件传输协议能够自定义邮件头的特性，把银行设定为发件人信息，进而伪装成官方银行，类似于新型邮件版本的“任意显”。

由于简单邮件传输协议是极为古老的邮件传输协议，早在20世纪80年代就已被广泛运用。它在初期设计时不存在对发送方身份加以验证的机制，故而才会出现能够伪造发件人的情形。专家阐释，伪造发件人信息是颇为常见的钓鱼邮件攻击手段，毫无技术难度，并且有极为简易的黑客工具能轻易伪造邮件发件人。从专家发送来的软件截图能够看出，在该软件里，“伪发件人邮箱”一栏，能够输入任意邮箱地址，邮箱内容则能够随意编写。

［提醒］

360互联网安全中心发出提醒，当下主流邮箱通常会针对发件人展开反向验证，一旦检测出发件服务器与发件人存在不一致情况，一般而言会将这类邮件丢到垃圾箱或者进行风险提示。建议用户尽可能去选择具有较高知名度、安全性比较靠谱的邮箱服务商。要是邮箱服务商并未具备自动验证发件人身份的安全机制，用户能够通过手工操作“查看邮件头”来判定发件人的真实信息。此外，安全专家给出建议，用户能够使用具备反钓鱼功能的安全软件，这种软件多含有查看网站真实身份的功能，借助此功能可避免遭受钓鱼网站的侵害。

Tags：警惕 银行邮件 钓鱼诈骗 邮箱安全 密码保护