IT运维管理,创造商业价值!
中国IT运维网首页 | 资讯中心 | 运维管理 | 信息安全 | CIO视界 | 云计算 | 最佳案例 | 运维资源 | 专题策划 | 知识库 | 论坛

深入剖析黑客窃取网上银行的基本方法

2008年12月18日
/

第一步:获取银行卡号和用户信息

内行看门道,外行看热闹,这话一点不假。通常人们想到要获取他人的银行卡号,都会认为那是非常难的事情,其实这是整个过程中最简单的一步,只需要自己办理一张相关银行卡,只需要在最后一位进行相加(卡号都是相连的),就可以得到轻松得到卡号。还有一种情况就是通过银行小票来获取卡号,多数人取完款或划卡消费后,都是把小票随手扔在垃圾筒里面,有些贼人就是靠那些小票,取得你银行卡号,回去专门复制银行卡号,来达到消费刷卡的非法目的。其实制作一张银行卡成本不会超过3元。

有了卡号,就需要破解密码,但这之前首先要获得用户的个人信息,这是非常有用的。那么黑客又是如何获得个人的详细信息呢?这其实也很简单,就是利用搜索引擎来搜信息,当然在淘宝之类的交易平台上收获最大,信息也最全。还有一类就是利用木马和病毒捕获的信息等手段来获取用户信息,灰鸽子就属于这类的。

其实用户银行帐号和信息被盗取从某方面来说,银行有不可推卸的责任。看看那些ATM取款机的房间,保安每天都如同和尚撞钟一样的工作着,真的担当了保安的职责么?多数只会拿着那狼牙棒子四处转悠,问他个事情还爱搭不理的,不是趴在桌子上睡觉就是望着门外,不知道是在想事,还是在欣赏过街的美女。再来看看天花板上面安装的摄象头,真正能“高清晰”拍摄到完整的画面么?真的就不存在死角么?而且24小时开放的ATM银行间内,经常会发生机器被破坏等现象。这些问题的存在都是银行方面的责任。

第二步:破解网银帐号和密码

在取得了银行卡号和用户信息后,接下来要做的就是破解密码了,这也是整个过程中最重要和最艰难的一步。我们先看看网银密码的窃取。网络银行固然方便,但是也存在着很大的隐患。其实很多网络银行都没有锁定输入信息的错误记录,只需要刷新重新登陆,一个id可以重复登陆,而且没有ip限制,只是在后台运行一套加密破解算法,根据搜索引擎和淘宝上搜到的个人信息来猜密码,重复尝试,直到成功。有些技术功底的就直接写程序,让计算机帮他猜,实在不行就换另外的储户,毕竟还有上亿的储户在使用,不用担心资源不够用。使用过网络银行的人都知道,我们一般都是先登陆该银行的主页,然后把自己的银行帐号填写进入,输入取款密码就可以完成该交易,这个看似很顺利成章的事情。

但对于我们喜欢研究网络安全的人来说,它采用的验证机制是存在很大安全隐患的,连续地在ID和密码栏中输入随机数字,如果能够登录,就说明这个数字是正确的密码。在网络银行中,企图非法窃取密码的作案者如果采用可以改变登录ID的方法,即便登录失败,网站也不会将密码视为无效。

除了用软件窃取网银密码以外,“冒充站点”也是网上银行使用中一个非常重要的安全隐患。比如,可以首先向客户发送一个“本行网站正在进行促销活动!”等内容的虚假邮件,然后诱骗客户访问虚假站点。客户在不了解情况时就会向虚假站点发送ID和密码。客户发送完毕后,如果显示出一个“服务马上就要停止”的画面,或者把客户访问重新引导到正规站点上,客户当时是很难察觉的。

这样一来,就存在有人进行非法资金转移的可能性。这样的网点行话称之为“网络钓鱼”而对于普通银行卡来说,获取密码就简单得多了。我们知道每次取现金的时候都要用到小键盘输入密码,而密码的位数也无非是0-9,获得密码的概率大致在10的6次方之一,对于一个双核的3.4G的计算机来说,只要几分钟就能搞定。更简单的方法还是有的,我们是用手指输入密码的,在ATM机上肯定会留下指纹,如果有人专门做了一些手脚的话,也应该能清晰的知道您刚才使用过的密码。但有个小问题,就是银行为了保护储户安全,设定了输入3次错误密码就自动吞卡的机制,这时自己复制的银行卡就有用武之地了。当然,被ATM机吞了卡后,黑客通常会换地方继续尝试破解,否则见光的可能性会更高。即使在柜台上,你也能轻松的要回银行卡,但通常凡是有点头脑的“贼”都不会这么做的,那样无疑是给自己增加入狱的可能。

中国有句古话:铁杵磨成针,只要有时间和耐心,让黑客惦记上,准跑不了。也许有人会怀疑,这么简单就能破解密码,那谁都能做黑客了。答案就是这么简单,其实你会扪心自问一下,自己的银行密码很复杂么?我想大多数人的银行密码都非常简单。我曾经专门拿身边的朋友,亲戚,同学等人做了测试,得到了以下的结论:一些储户为了好记密码,取款密码使用自己的生日号码,还有更多的人还是喜欢把家中电话号码做为密码,最有意思的是有人居然把取款密码设定为了123456,我问他为什么,人家说了,别人都把密码设定的特复杂,我反倒要简单,越危险的地方就是最安全的地方。呵呵,这位仁兄的理解,实在是搞笑。对于那些设定为123456的人来说,你的密码就更可说是形同虚设,真不知道当初银行为什么要把我们的取款密码设定为6位。这也从另一方面说明了黑客为什么会轻松的破解密码。

通过ATM来破解密码,银行也要负责。如果我们忘记取卡了,很少有机器发出提示警告或者发出报警声响,在今天压力较大的社会,我想到了李
宁专卖店上醒目的台词:一切都有可能,所以忘记拔卡也不是不可能出现的。

入侵银行数据库的大牛

到这里大功基本告成。剩下的事就是考虑如何花掉这些非法所得的金钱了。上面介绍的都是一些常规手段,还有一非常规手段,就需要有真正的黑客技术了,曾经有大牛拿假身份证去办卡,然后入侵某银行的数据库,给自己开了刚办的这张卡里存了一元钱,第二天,在ATM机上则如假包换的有了11元钱。这就证明了网络世界里没有绝对安全的理论。

为了更加形象的说明常规手段,下面是一段情景再现:

他,穿黑色套头的运动上衣,头戴白色网球帽,使用一张银行卡,在人较少的时间段进入ATM操作间,把卡放入入卡口那里,然后把取款机上的探头利用口香糖或双面胶封存,利用液体口香糖喷洒在输入键盘之上,因为是背对银行的摄象头,所以操作的时候是无法捕获到的,然后熟练的取卡,注意这里,他带着手套,不会破坏掉原本设立好的陷阱。然后在旁边机器上以查询服务为掩护,等待鱼儿上钩。在受害人插入银行卡后,输入密码的时候,取钱完毕后,他便利用得到的取款小票(多数人都是取完款,把小票随手扔在垃圾筒里面)来仿制出跟你相似的银行卡,根据你在键盘上的指纹,来记录你的取款密码……剩下的事,大家就都知道了。

作为用户我们应该怎样避免这些被盗窃事件的发生?

1、网银用户输入密码的时候采用叉分图标法,利用鼠标不断切换光标来输入密码,以防止被hook跟踪,一个星期更换一次个人密码,采用手动

记录。

2、不要太相信计算机,把密码本放在别人不容易找到和看到的地方,不再使用生日做为密码,电话号码。手机,名字大小写来设立网银密码。

3、勤打系统补丁,升级杀毒软件,一旦发现网银损失,立即报案,让公安协助追查,不要想着散财得福,贻误捕获银行黑客的最佳时机。


发表评论请到:http://bbs.cnitom.com

相关阅读

图文热点

Power架构产品创新 IBM推动其本土化发展
Power架构产品创新 IBM推动其本土化发展自从1990年,IBM推出基于RISC系统的新产品线RS/6000(现称eServer p系列)之后,...
WAF:高校Web应用安全守护者
WAF:高校Web应用安全守护者最近几年高校网站被攻击的事件时有发生,造成了不良影响,因此越来越多的高校开始...

本类热点