摘要: 随着互联网的发展,电子商务的广泛应用,网上购物成为人们的基本需求。与此同时,网上银行、手机银行等电子银行应运而生,众多银行通过互联网向公众提供各种金融服务的电子银行系统,使用户可以不受时空限制,足不出户便可以通过网络进行申请、查询、管理、转账等银行业务,体验网...
随着互联网的发展,电子商务的广泛应用,网上购物成为人们的基本需求。与此同时,网上银行、手机银行等电子银行应运而生,众多银行通过互联网向公众提供各种金融服务的电子银行系统,使用户可以不受时空限制,足不出户便可以通过网络进行申请、查询、管理、转账等银行业务,体验网上经济新生活。
银行业务网络与互联网的连接,使得网上银行与银行卡容易成为非法入侵和恶意攻击的对象,加上目前网络秩序较混乱,黑客攻击事件层出不穷,使开展网上银行业务的银行和普通用户面临更多的风险。在开放网络中流动的大量金融交易数据,不仅涉及巨大的经济利益,而且包含大量的用户个人隐私信息,必然吸引不法分子的网络入侵、网上侦听、电子欺诈和攻击行为,对于用户和银行来说,这都是极大的风险!
近日,安恒信息总裁范渊先生接受了央视财经频道的深入采访,作为全球第一位登上“黑帽BlackHat”大会演讲的中国人,他指出目前网络金融安全形势不断恶化,其根源还在于互联网这柄“双刃剑”福祸相倚的特性。银行业务网络与互联网的连接,使得网上银行与银行卡容易成为非法入侵和恶意攻击的对象,加上目前网络秩序较混乱,黑客攻击事件层出不穷,使开展网上银行业务的银行和普通用户面临更多的风险。在开放网络中流动的大量金融交易数据,不仅涉及巨大的经济利益,而且包含大量的用户个人隐私信息,必然吸引不法分子的网络入侵、网上侦听、电子欺诈和攻击行为,对于用户和银行来说,这都是极大的风险!
央视视频截图
黑客窃取手法揭秘
央视视频截图
网络犯罪分子最常见的攻击手法
一、建立“钓鱼网站”,通过建立一个和网上银行一模一样的网站诱使用户输入卡号和密码;
二、通过技术手段入侵或购买其他黑客攻击下来的网站,然后在其网页中挂上病毒木马程序,普通用户如果没有升级到最新的杀毒软件就有可能“中马”,用户在登陆使用网上银行的时候木马就会记录卡号和密码发送到网络犯罪分子的电脑上;
黑客也会攻击一些大型门户网站、团购网站、社交网站等等,这些网站的数据库中都存有大量用户数据信息,通过收集分析用户信息等一系列被称做“社会工程学”的手段的攻击效果被广大攻击者认可。攻击者通过获得更多的用户信息数据有利于提高攻击的效率,并在地下建立起“人肉搜索库”,预期实现:获知某用户常用ID、QQ号或Email,可以直接搜索出其常用密码或常用密码密文。
三、同时云计算目前逐渐兴起,越来越多的企业和普通用户利用云计算服务处理他们的业务,因此,数据中心成为网络攻击的目标。黑客攻击者会构建独自的私有云,从管理不善的企业的云计算系统盗取资源,或是通过由多个虚拟机构建网络,从而增加攻击的效率和有效性。
四、直接向地下网络黑市购买这些用户信息,或者发送欺骗消息和拨打欺骗电话骗取用户的一些敏感信息;
五、复制他人银行卡信息,银行卡分为磁条卡和ic卡,其中磁条卡最容易被复制,不过由于每个银行都有独立的加密算法,不一定知道卡号就可以完全复制,所以目前来说已知的就是通过盗卡,利用用户的原卡进行复制。作案人员一般采用在ATM或其他地方,安装磁条卡读卡器,骗你将银行卡在这些读卡器上刷,然后把你银行卡的磁道信息记录下来,再写入一张其他同类型磁条卡,这样就完成了银行卡的复制。
容易忽略的问题
此外还有我们以前会忽略的银行自助服务终端本身的安全性,如银行的营业网点都有自助查询机,可以查询自己银行帐户的余额,或者缴费充值等等,但是一般银行的自助查询机都没有做很好的安全策略,如果网络犯罪分子绕过自助查询机的屏幕终端,可以访问除银行以外的网站,网络犯罪分子就会预先建立一个含有病毒木马的网页让自助查询机访问该页面,从而远程监控这台查询机,一旦用户使用这台查询机进行操作,就可以记录下用户的卡号和密码。在某些情况下网络犯罪分子还可以通过控制的自助查询机渗透进入银行内部。
虽然现在国内银行都使用的usbkey或者称为U盾来保护用户的财产安全,在进行转帐汇款等金钱交易的时候提供双重保障,更有银行会发送手机验证码,但是大部分电话银行缺乏这些多重份验证;以前是犯罪者诱骗普通用户去使用交易口令和usbkey,现在犯罪者只需要通过一些手段获得卡号和密码,并不需要得到实际的银行卡和U盾,即可通过任意手机或电话进行任意操作。
另外公共商业场所,如酒店、饭店、商场消费时进行刷卡消费(一般从ATM机进行存取款时系统打印回单是会用星号代替银行卡号的某几位,但是公共商业场所消费所产生的回单是会完全显示卡号,很多人都忽略了这一点),这些场所很容易被记录下银行卡或信用卡信息,并被复制,特别是很多信用卡并不需要密码就可以消费,被复制后后果很严重。
比如某人经常出差需要住酒店,入住酒店的时候就会刷卡消费和身份证登记,其中绝大部分人都喜欢用自己的生日作为银行卡密码,这样也就给了作案人员的可乘之机。
一些狡猾的网络犯罪分子在能控制大量银行卡的时候并不会马上大批量转移受害用户的钱财,而可能每次通过只转一毛钱或者五毛钱,如果没有开通手机短信通知业务的用户通常不容易发现自己的金额变化。
网络犯罪分子不光可以通过技术手段进行攻击,在国外,一些网络犯罪分子会从网上购买如消防服,清洁服,扮成消防员或清洁员混入银行内部趁机安装无线网卡和键盘记录器等等,然后通过渗透银行内部网络获取大量用户信息。这一点很象斯诺登最近公布的美国的“黑袋行动”。
如今的黑客
范渊先生还指出,现在的黑客只要是能接受到信号的东西他们都会去尝试研究攻击。他们可以攻击有智能系统的汽车、攻击安装在病人身体里的心脏起搏器、攻击智能电视、智能家居系统等等。
此外政府系统、工控系统、公安系统、交通系统等都是一些特殊骇客群体的目标,这些单位和机构需要非常重视信息安全保密工作,敏感信息的泄漏有可能对国家造成沉重的打击,甚至会违反相关的法律规定。在最近几年APT(高级持续性威胁)攻击横行的时期,骇客早也不再以挂黑页炫耀为目的,攻击者可能通过该漏洞作为突破口渗透进入其内部网络长期蛰伏,不断收集各种信息,直到收集到重要情报。请记住,在如今的互联网时代,只要是能换成钱的东西,骇客都愿意尝试,其中更不乏诸多政治骇客 (如国际黑客组织Anonymous)。
