〈富邦金併日盛成局〉大股東參與應賣揭曉 日本新生銀持股全數售出
]
富邦金 (2881-TW) 昨 (23) 日宣布公開收購日盛金 (5820-TW) 達 53.84%,代表日本新生銀行或建群投資兩大股東之一有參加應賣,今天答案揭曉,日本新生銀行公告應賣 13 億 3877 萬 9132 股,等於在日盛金的 35.49% 持股全數售出。
日本新生銀行行長 Hideyuki Kudo 今日宣布,在綜合考量公開收購條款和條件,以及評估在日盛金控的戰略地位後,已申請參與富邦金針對日盛金普通股的公開收購應賣。
新生銀行申請應賣股數 13 億 3877 萬 9132 股,對照日盛金截至今 (2021) 年 2 月最新大股東持股明細,可看出等於新生銀行在日盛金的 35.49% 持股全數售出。
富邦金是以每股 13 元收購,新生銀行估算,在該行子公司 SIPF B.V. 賣出日盛金持股後,扣除所得稅費用,以 2 月底匯率估算,預計賣股獲利約為 75 億日圓 (折合新台幣 19.95 億元台幣),將計入今年 3 月 31 日止的財政年度報表。也就是說,新生銀行將依約於 3 月 30 日完成公開收購股權交割。
此公開收購案成局,富邦金今天早盤股價最高衝到 55.3 元,漲幅超過 1%,但獲利了結賣壓壓抑,盤中股價微幅翻黑震盪;而日盛金股價最高勁揚超過 3%,來到前波高點 12.8 元。
國內首樁「金金併」完成!富邦金收購日盛金問鼎銀行、證券領導地位|數位時代 BusinessNext
]
銀行釣魚簡訊最新手法!解析台新簡訊詐騙案:一般民眾應如何自保?
]
去年 12 月曾分析駭客可能利用哪些手法盜轉網銀存款,沒想到類似的簡訊詐騙在今年春節前又再度出現。詐騙集團大量發送簡訊,偽裝成台新銀行通知客戶網銀 App 更新,誘使受害人點擊連結輸入網銀帳號密碼,進而盜走存款。
一般人若遭到詐騙,為了面子通常會低調處理,但此案受害人之一 Asa Chen 卻選擇在臉書上描述慘痛經歷,希望不要有人再因此上當。十分欽佩 Asa 為了保護其他民眾而勇敢公開分享的行徑,因此私訊她請教詳細事發過程,讓更多人可以了解詐騙套路,並附上簡單自保之道,以及銀行該如何保護客戶的一些建議。
詳細事發經過(經當事人確認且同意公開)
儘管媒體已報導,但內容與實際發生狀況仍有些許落差,因此先來看看此次詐騙發生的經過。
高智敏
2 月 5 日晚上 6 點多,Asa 收到詐騙簡訊,內容提到台新網銀版本更新所以要求立即上網驗證身分,同時附上驗證網址。點下連結打開看似台新的釣魚網頁,Asa 輸入了身分證、網銀帳號、密碼,並按下送出。這組登入網銀的資訊,就在此時傳送了給詐騙集團設置的伺服器。
能夠登入網銀,只是整個計畫的第一步,接下來的重點在於如何把錢轉出來。如果隨便找一台手機,即使用 Asa 帳號登入網銀,也只能進行「約定轉帳」,意即錢只能轉給 Asa 事先約定好的帳戶。因此,若要將錢轉至詐騙集團人頭戶,勢必得啟用「非約定轉帳」功能。
由此份台新官方說明可看出,只要把做案用手機變成「信任裝置」,就可以執行非約定轉帳,而其中一種方式,是由台新發送「啟用密碼」簡訊認證。詐騙集團只要取得「啟用密碼」,並且在做案用手機輸入,將手機變身為信任裝置,即可為所欲為,堪稱「得密碼者得天下」。
問題是,這個啟用密碼只會被傳到 Asa 當初留給台新的手機,而且十分鐘內未輸入立即失效,詐騙集團該如何拿到?
最重要也最困難的這一步,詐騙集團巧妙善用了前面的釣魚網頁,搭配現今最流行的 「OTP」認證模式(透過簡訊或電郵傳送的一次性密碼)。Asa 送出帳號密碼後,釣魚網頁跳轉到下一頁,要求輸入簡訊認證碼確認身分。此時,詐騙集團趕緊利用 Asa 帳號登入網銀、申請裝置認證,台新也確實發出「啟用密碼」簡訊到 Asa 手機。
Asa Chen
若你是 Asa,網頁只差輸入簡訊密碼就完成,而剛好又傳來一封附有 OTP 的簡訊,是不是很直覺會把密碼輸入網頁了?能夠分辨這個簡訊密碼是「綁定裝置用」的客戶有多少?
一旦詐騙集團綁定手機,後面轉帳給人頭戶的過程就不需贅述。根據規定,非約定轉帳每筆上限 5 萬、每日上限 10 萬、每月上限 20 萬。由於 Asa 有 2 個帳號,加上詐騙集團又在半夜跨日前後轉帳,因此最多可轉出 40 萬(2 帳號 x 每日 10 萬 x 2日)。
不懂科技的民眾也能自保嗎?
與 Asa 溝通過程中,不難發現多數人認為自己會上當的主要原因,是因為不懂資訊科技。其實此類詐騙並未使用高深手法或先進駭客工具,而是採用最經典的「社交工程」,攻擊脆弱的人心。 因此,民眾若要避開此類詐騙,要加強的不是計算機概論,也不用成為資安專家,而是掌握一個最基本的原則——不管是熟人還是陌生人、不管是哪種方式傳來的訊息(簡訊、電子郵件、Line、FB、IG 等),只要內容附上網址、而且點開後要求輸入帳號密碼或下載安裝程式,內心的警報器一定要大聲作響,告訴自己:這極有可能是釣魚簡訊!
假使不放心或很想知道真相,也絕對不要貪圖方便而點擊訊息內的網址,應該另外打開官方 App,或是自己連線到官方網站。以此案為例,若 Asa 真的怕網銀被停用,應該做的是打開台新 App 或用 Google 搜尋台新官網,然後登入驗證。當然,登入以後就會發現根本沒有強迫重新驗證這回事。
另外,由於釣魚訊息會隨著時事而不斷進化,我們的最佳對策除了絕不點開以外,還可以加上一點想像力,把「網路」上發生的事情搬到「馬路」類比,大概就能提高「防詐免疫力」了。
比如說,當你走在街上,一位路人走過來搭訕,說他是台新銀行行員,因為某某分行要改裝了,必須請妳立即提供存摺跟印章,確認妳還是活躍的客戶,未來才能繼續使用銀行的服務,否則就要凍結妳的帳戶。試問,你會不會把存摺跟印章給他呢?
我想正常人聽到這種奇葩理由,應該都不會交出來吧!那為什麼類似的情境發生在網路上,不少人卻願意提供帳號密碼呢?
銀行能否更積極保護客戶?
當然,若客戶沒有把身分證字號、帳密跟綁定信任裝置的啟用密碼交出,詐騙集團也無法成功盜走存款,客戶自然得負最大的責任。不過,銀行因為擔心被金管會罰、擔心被客戶告得負賠償責任,而於事發後說明早已於網頁或網銀使用條約提醒客戶提高警覺、網銀的安全控管符合規定等,只會讓客戶感到到「卸責優先」,而非積極協助的態度。
去年在美國大通銀行開戶後,年底收到了一封警示郵件,內容是銀行發現我的部分個資已經在暗網(駭客的黑市)被販賣。收到這封郵件的當下,除了訝異原來美國個資也會這麼快被賣掉以外,對於美國銀行的主動積極留下十分深刻的印象。
高智敏
在網銀被盜頻傳的現在,台灣的銀行絕對可以採取更主動的作為,積極保護客戶權益:
- 以詐騙角度重新設計流程:思考「綁定信任裝置」或其他「便民科技措施」,在釣魚簡訊或其他類似詐騙手法中,會如何被詐騙集團濫用,並且重新設計整體流程,在「安全」與「便民」中取得平衡。
搶先註冊可能被濫用的類似網址:此次詐騙集團使用的釣魚網站是 www.taishinz.com,乍看之下很難發現是假網址,因此銀行可以搶先詐騙集團一步,註冊那些容易被假冒的網址。像是知名火鍋店「海底撈」註冊「池底撈、淮底撈、海底 LAO、三每底手勞」等 177 個商標,「珍煮丹」加碼註冊「珍煮母」等,都是類似的概念。 異常行為監控:當使用者行為與平日截然不同,或是發現行為模式與之前被詐客戶的異常行為類似時(如長假前周末夜晚綁定信任裝置),可改用其他方式(如真人電訪或機器語音確認)再次與使用者確認。 關注國內外銀行詐騙案例:由於疫情關係,美國不少銀行鼓勵年長者多多使用網路銀行,也讓詐騙集團有機可趁,美國退休人員協會(AARP)去年也撰文提醒會員小心釣魚簡訊詐騙。而在台新簡訊詐騙之前,已有國泰的案例;而台新之後,近日又出現假冒中國信託的簡訊。其他尚未出事銀行,應該立即檢視自己的系統與流程設計。
詐騙不死,只是變形
保護好自己重要的帳號密碼,是民眾最基本的責任,不懂電腦不了解資安並不能當作藉口,只要掌握不隨意點擊連結、不輸入帳密或重要個資、不下載安裝程式的基本原則,就能趨吉避凶。
銀行能做的不只是打官腔和事發後被動提醒客戶,如何搶先詐騙集團、駭客與民眾好幾步,提前做好防詐布局,才是真正「客戶至上」的貼心服務。
(本文出自高智敏)