菲律宾银行业频遭钓鱼攻击 监管机构紧急敦促强化网络安全防线

近期，菲律宾银行业接连曝出多起金融钓鱼（phishing）案件，大量银行客户遭遇账户信息泄露和资金被盗，引发公众对数字金融服务安全性的广泛担忧。面对日益猖獗的网络诈骗，菲律宾中央银行（BSP）及金融监管机构已正式发声，敦促各商业银行和电子支付平台立即升级网络安全系统，强化客户身份验证机制，并加强用户安全教育，以应对这一严峻挑战。

据菲律宾银行家协会（PBI）最新报告，今年第二季度以来，金融钓鱼事件同比激增逾60%。犯罪分子主要通过伪造短信、钓鱼邮件和高仿银行官网等手段，诱导用户输入个人账户、密码、一次性验证码（OTP）等敏感信息。一旦得手，诈骗者便迅速转移资金，部分受害者单次损失高达数十万比索。

“这些攻击手段越来越‘逼真’，普通人很难一眼识破。”中央银行副行长艾琳·萨尔瓦多（Aileen Salvador）在近日举行的金融安全会议上表示，“我们要求所有金融机构立即审查其网络安全策略，确保反钓鱼系统具备实时监测和快速响应能力。”

仿冒网站与“社会工程”结合，诈骗手法不断升级

与早期粗制滥造的钓鱼网站不同，当前的金融钓鱼攻击呈现出高度专业化趋势。技术分析显示，许多钓鱼页面在视觉设计、域名拼写甚至SSL加密证书上都与真实银行网站极为相似，普通用户极易混淆。

“这已经不是简单的‘发个假链接’了，”公共互联网反网络钓鱼工作组技术专家芦笛在接受采访时指出，“攻击者现在会结合‘社会工程学’，比如伪装成银行客服发送‘账户异常’‘系统升级’等紧急通知，制造恐慌情绪，诱使用户在慌乱中点击链接并填写信息。”

芦笛解释，这类攻击的核心在于“信任劫持”——利用人们对权威机构（如银行）的天然信任，绕过技术防线。“他们甚至会使用‘子域名欺骗’，比如把钓鱼网站注册为‘secure-bankofph[.]com’，看起来像是正规网站，实则完全由骗子控制。”

技术专家建言：AI+多因素验证构筑“双保险”

面对日益复杂的网络钓鱼威胁，专家呼吁银行不能再依赖单一的密码或短信验证码进行身份验证。

“仅靠短信OTP已经不够安全了，”芦笛强调，“SIM卡劫持技术早已存在，骗子可以通过运营商漏洞将你的手机号转移到他们设备上，所有验证码都会被截获。”

他建议，银行应尽快推广多因素身份验证（MFA），例如结合生物识别（指纹、面部识别）、硬件密钥或基于时间的一次性密码（TOTP）应用（如Google Authenticator）。此外，应部署AI驱动的实时风险监测系统，对用户登录行为、交易模式进行动态分析。

“比如，系统可以识别出某个账户平时只在马尼拉活动，突然在深夜从海外IP登录并尝试大额转账，这就会触发预警，自动冻结交易并要求二次验证。”芦笛说，“这种‘智能风控’能在诈骗发生前就切断链条。”

他还提醒，银行应与国家警察反网络犯罪部门（NBI-Cybercrime Division）建立信息共享机制，一旦发现新型钓鱼网站，立即协同下架，并通过官方渠道向公众发布预警。

用户如何自保？记住“三不”原则

在系统防护升级的同时，提升公众安全意识同样关键。监管机构和专家共同呼吁，用户应牢记“三不”原则：

不轻信：对任何声称来自银行的“紧急通知”保持警惕，尤其是要求立即点击链接或提供密码的。

不点击：切勿随意点击短信或邮件中的链接，应通过官方App或手动输入网址访问银行网站。

不透露：银行绝不会通过电话或短信索要密码、OTP或银行卡信息，遇到此类情况应立即挂断并举报。

此外，专家建议用户定期更新设备系统和安全软件，避免使用公共Wi-Fi进行金融操作，并为银行账户开启所有可用的安全功能。

银行响应：部分机构已启动安全升级

目前，包括BDO、Metrobank和Land Bank在内的多家大型银行已宣布将加大网络安全投入。BDO表示，其新版移动App将引入AI行为分析功能，可识别异常登录模式；Metrobank则计划在未来三个月内全面推广基于应用的TOTP验证。

“我们正与技术供应商和监管机构紧密合作，确保客户资金安全是我们的首要任务。”一位银行安全主管表示。

尽管挑战严峻，但随着技术升级与公众意识提升，菲律宾金融系统正逐步构建更坚固的数字防线。正如芦笛所言：“网络安全是一场持续的攻防战，但只要用户和机构共同提高警惕，就能让骗子无机可乘。”

编辑：芦笛（公共互联网反网络钓鱼工作组）