在新闻中，这一幕是不是经常会出现？某地警方成功捣毁了某个电信诈骗团伙或银行工作人员成功阻止了某位老年人向诈骗分子的巨额转账。然而这一次，同样的一幕发生在欧洲，是西班牙警方。

7月14日，西班牙执法部门逮捕了16名网络犯罪分子，他们涉嫌运用2款针对银行的木马程序，对欧洲金融机构从事网络金融诈骗活动。

西班牙国民警卫队在一份声明中表示，经过长达一年的调查取证后，7月14日，西班牙执法部门在西班牙里贝拉（阿科鲁尼亚）、马德里、帕尔拉和莫斯托莱斯（马德里）、塞塞尼亚（托莱多）、巴达霍斯和杜罗河畔阿兰达（布尔戈斯）等多地同时展开执法行动，共逮捕了16名网络犯罪分子。

该犯罪团伙涉嫌通过电子邮件诈骗技术将恶意软件安装在目标用户的计算机中，再设法将受害人的资金转移到他们自己的账户上。

犯罪团伙被捕后，涉案计算机设备、移动电话和文件被没收，专家和执法部门对截获的1800多封恶意电子邮件进行了分析，并成功阻止了总额为350万欧元（约合2675万人民币）的转账。据调查，该犯罪团伙共非法获利276470欧元，其中87000欧元已被成功追回。

其实早在一个多月前，西班牙警方就对此类网络犯罪发出过警告：网络犯罪分子正在冒充银行来骗取用户信息。有的是以桑坦德银行之名行骗的，有的则是以Ibercaja银行之名发出的诈骗邮件。

据《阿贝赛报》报道称，与许多网络诈骗类似，银行诈骗也是从电子邮件开始的。网络犯罪分子冒充银行，向目标用户发送电子邮件，要求用户点击电子邮件附带的恶意链接以激活新的安全系统。

电子邮件里还会谎称，如果不点链接，那么从某一天开始，用户将无法使用其网上银行帐户。这使得许多受害者不假思索地就点击了网页和链接。

目标用户一旦点击了恶意链接，那么后台就会隐蔽地安装了恶意软件。同时，用户会被带到一个冒充的官方银行页面，例如类似桑坦德银行、西班牙Ibercaja银行的官网页面；之后需要填写一系列个人信息，包括客户的银行账户信息等；然后网站会再打开一个新页面，要求用户提供电子签名；最后，还会向用户发送短信验证。

此外，为了防止警察的调查，该犯罪团伙还会利用BIZUM（一款移动即时汇款软件）、REVOLUT（英国的一家线上金融平台，提供传统的银行服务和加密货币交易）等途径将钱转移到其他账户，或在自动取款机上提取现金，多渠道多方式转移资金。

虽然本案的电子邮件诈骗行为具有很高的迷惑性，但使用的还是植入恶意木马程序的惯用伎俩。该犯罪团伙使用的两款恶意软件名为 “Mekotio”和 “Grandoreiro”，它们通过拦截银行网站上的交易，在未经授权的情况下将资金转移到攻击者控制的账户。据调查，目前至少有68个官方机构的电子邮件账户被入侵，以便犯罪团伙开展诈骗活动。

网络安全公司卡巴斯基曾在2020年7月披露，“Grandoreiro”和“Mekotio”（又名Melcoz）都是银行木马 “Tetrade”的一部分。电脑安全软件公司ESET在2020年8月披露了“Tetrade”木马发展和变异的具体技术，如向其受害者显示虚假的弹出窗口，试图诱使他们泄露敏感信息等。这些窗口是精心定制的，主要针对拉丁美洲和欧洲的银行和其他金融机构。

 “Grandoreiro”是一款使用Delphi语言编写的银行木马程序，最早出现于2016年。自2017年以来，“Grandoreiro”一直活跃在巴西和秘鲁，并在2019年扩展到墨西哥和西班牙。攻击者通过定期改进技术，试图保持该木马的隐蔽性和更长的活动时间。

与其他针对拉丁美洲的银行木马程序一样，“Grandoreiro”具有后门功能，其作用包括：控制窗口、自我更新、捕获键盘输入、模拟鼠标和键盘动作、将受害者的浏览器导航到指定的URL、使受害者注销登录或重启计算机、阻止访问特定的网站等。

 “Grandoreiro”还会收集受害者的一些相关信息，如电脑名称、用户名、操作系统版本和系统架构、是否安装了Diebold Warsaw GAS Tecnologia（一种在巴西流行的应用程序，用于保护对网上银行的访问）、已安装的安全产品列表等。

在某些版本中，它还会窃取存储在Google Chrome浏览器中的凭据和存储在Microsoft  Office中的数据。

另外，“Grandoreiro”木马通过在Windows启动目录中创建.LNK文件，保持其自身的持久性。

“Mekotio”也是一款针对拉丁美洲的银行木马，最早可追溯至2018年，在针对巴西的攻击案例中被首次发现，随后陆续扩散到智利、墨西哥和西班牙等其它地区。这款木马程序的最新变种具有一个显著的特点，就是使用SQL数据库作为C&C服务器。

“Mekotio”也是通过使用运行键或在Windows启动目录中创建 .LNK 文件来确保其自身的持久性。

与大多数针对拉丁美洲的银行木马程序一样，“Mekotio”具有几种典型的后门功能，包括截取屏幕截图、操作窗口、模拟鼠标和键盘操作、重新启动机器、限制对各种银行网站的访问以及自我更新等。不同的是，“Mekotio”的某些变体还可以通过替换剪贴板中的比特币钱包来窃取比特币，而不仅仅是窃取银行业务详细信息。

卡巴斯基研究人员在一份报告中指出，“Mekotio”一般从浏览器和设备的内存中窃取密码，通过远程访问，以获取网银访问权限。

为了通过键盘记录功能轻松地窃取密码，“Mekotio”通常会禁用Internet Explorer 中的 “自动完成” 选项。

首先，要避免陷入电邮诈骗的陷阱中，最重要的是不要回复任何涉及提供个人身份信息或财务信息要求的电子邮件。日常生活中，我们经常会收到这样的提醒服务：“金融公司或银行不会通过短信或邮件要求用户提供私密信息或银行卡的信息。”

其次，用户应时刻保持警惕并尽量避免点击存疑的链接，点击链接前应当先确认该网址是否是银行的官方网站。接收到此类可疑的邮件或短信后，应尽快删除它。

再次，如果怀疑自己已经是网络诈骗的受害者，应当立即变更账户密码并及时与银行和安全部门联系，争取将损失降到最低。

最后，如果已经下载过伪造的应用程序，应及时删除并使用杀毒软件对设备进行彻底地查杀处理。

电邮诈骗虽然方法老套，但仍是目前比较流行且有效的诈骗手段。电子邮件是勒索软件、木马病毒的主要传播工具。不法分子通过诱导受害者点击含有恶意程序的木马病毒，从而侵入受害者计算机内部，长期窃取数据信息，或实施诈骗活动。

俗话说：“害人之心不可有，防人之心不可无。”其实，防范电邮诈骗以及其他的骗局，最有效的办法就是“不信”。时刻保持一颗怀疑之心，遇事多思考、多辨别，提高自我防范意识，诈骗分子就会无机可趁、无计可施。

（本文参考文章均来源于网络及相关公众号，仅供读者了解和掌握相关情况参考，不用于任何商业用途。如果相关作者认为摘选不妥，请联系我们删除。）