解讀黑客盜取網(wǎng)上銀行的基本方法

編外：打網(wǎng)銀主意的是罪犯， 而不是黑客

　　第一步：獲取銀行卡號(hào)和用戶(hù)信息

　　內(nèi)行看門(mén)道， 外行看熱鬧， 這話一點(diǎn)不假。 通常人們想到要獲取他人的銀行卡號(hào)， 都會(huì)認(rèn)為那是非常難的事情， 其實(shí)這是整個(gè)過(guò)程中最簡(jiǎn)單的一步， 只需要自己辦理一張相關(guān)銀行卡， 只需要在最后一位進(jìn)行相加（卡號(hào)都是相連的）， 就可以得到輕松得到卡號(hào)。 還有一種情況就是通過(guò)銀行小票來(lái)獲取卡號(hào)， 多數(shù)人取完款或劃卡消費(fèi)后， 都是把小票隨手扔在垃圾筒里面， 有些賊人就是靠那些小票， 取得你銀行卡號(hào)， 回去專(zhuān)門(mén)復(fù)制銀行卡號(hào)， 來(lái)達(dá)到消費(fèi)刷卡的非法目的。 其實(shí)制作一張銀行卡成本不會(huì)超過(guò)3元。

　　有了卡號(hào)， 就需要破解密碼， 但這之前首先要獲得用戶(hù)的個(gè)人信息， 這是非常有用的。 那么黑客又是如何獲得個(gè)人的詳細(xì)信息呢？這其實(shí)也很簡(jiǎn)單， 就是利用搜索引擎來(lái)搜信息， 當(dāng)然在淘寶之類(lèi)的交易平臺(tái)上收獲最大， 信息也最全。 還有一類(lèi)就是利用木馬和病毒捕獲的信息等手段來(lái)獲取用戶(hù)信息， 灰鴿子就屬于這類(lèi)的。

　　其實(shí)用戶(hù)銀行帳號(hào)和信息被****從某方面來(lái)說(shuō)， 銀行有不可推卸的責(zé)任。 看看那些ATM取款機(jī)的房間， 保安每天都如同和尚撞鐘一樣的工作著， 真的擔(dān)當(dāng)了保安的職責(zé)么？多數(shù)只會(huì)拿著那狼牙棒子四處轉(zhuǎn)悠， 問(wèn)他個(gè)事情還愛(ài)搭不理的， 不是趴在桌子上睡覺(jué)就是望著門(mén)外， 不知道是在想事， 還是在欣賞過(guò)街的美女。 再來(lái)看看天花板上面安裝的攝象頭， 真正能“高清晰”拍攝到完整的畫(huà)面么？真的就不存在死角么？而且24小時(shí)開(kāi)放的ATM銀行間內(nèi)， 經(jīng)常會(huì)發(fā)生機(jī)器被破壞等現(xiàn)象。 這些問(wèn)題的存在都是銀行方面的責(zé)任。

　　第二步：破解網(wǎng)銀帳號(hào)和密碼

　　在取得了銀行卡號(hào)和用戶(hù)信息后， 接下來(lái)要做的就是破解密碼了， 這也是整個(gè)過(guò)程中最重要和最艱難的一步。 我們先看看網(wǎng)銀密碼的竊取。 網(wǎng)絡(luò)銀行固然方便， 但是也存在著很大的隱患。 其實(shí)很多網(wǎng)絡(luò)銀行都沒(méi)有鎖定輸入信息的錯(cuò)誤記錄， 只需要刷新重新登陸， 一個(gè)id可以重復(fù)登陸， 而且沒(méi)有ip限制， 只是在后臺(tái)運(yùn)行一套加密破解算法， 根據(jù)搜索引擎和淘寶上搜到的個(gè)人信息來(lái)猜密碼， 重復(fù)嘗試， 直到成功。 有些技術(shù)功底的就直接寫(xiě)程序， 讓計(jì)算機(jī)幫他猜， 實(shí)在不行就換另外的儲(chǔ)戶(hù)， 畢竟還有上億的儲(chǔ)戶(hù)在使用， 不用擔(dān)心資源不夠用。 使用過(guò)網(wǎng)絡(luò)銀行的人都知道， 我們一般都是先登陸該銀行的主頁(yè)， 然后把自己的銀行帳號(hào)填寫(xiě)進(jìn)入， 輸入取款密碼就可以完成該交易， 這個(gè)看似很順利成章的事情。

　　但對(duì)于我們喜歡研究網(wǎng)絡(luò)安全的人來(lái)說(shuō)， 它采用的驗(yàn)證機(jī)制是存在很大安全隱患的， 連續(xù)地在ID和密碼欄中輸入隨機(jī)數(shù)字， 如果能夠登錄， 就說(shuō)明這個(gè)數(shù)字是正確的密碼。 在網(wǎng)絡(luò)銀行中， 企圖非法竊取密碼的作案者如果采用可以改變登錄ID的方法， 即便登錄失敗， 網(wǎng)站也不會(huì)將密碼視為無(wú)效。

　　除了用軟件竊取網(wǎng)銀密碼以外， “冒充站點(diǎn)”也是網(wǎng)上銀行使用中一個(gè)非常重要的安全隱患。 比如， 可以首先向客戶(hù)發(fā)送一個(gè)“本行網(wǎng)站正在進(jìn)行促銷(xiāo)活動(dòng)！”等內(nèi)容的虛假郵件， 然后誘騙客戶(hù)訪問(wèn)虛假站點(diǎn)。 客戶(hù)在不了解情況時(shí)就會(huì)向虛假站點(diǎn)發(fā)送ID和密碼。 客戶(hù)發(fā)送完畢后， 如果顯示出一個(gè)“服務(wù)馬上就要停止”的畫(huà)面， 或者把客戶(hù)訪問(wèn)重新引導(dǎo)到正規(guī)站點(diǎn)上， 客戶(hù)當(dāng)時(shí)是很難察覺(jué)的。

　　這樣一來(lái)， 就存在有人進(jìn)行非法資金轉(zhuǎn)移的可能性。 這樣的網(wǎng)點(diǎn)行話稱(chēng)之為“網(wǎng)絡(luò)釣魚(yú)”而對(duì)于普通銀行卡來(lái)說(shuō)， 獲取密碼就簡(jiǎn)單得多了。 我們知道每次取現(xiàn)金的時(shí)候都要用到小鍵盤(pán)輸入密碼， 而密碼的位數(shù)也無(wú)非是0-9， 獲得密碼的概率大致在10的6次方之一， 對(duì)于一個(gè)雙核的3.4G的計(jì)算機(jī)來(lái)說(shuō)， 只要幾分鐘就能搞定。 更簡(jiǎn)單的方法還是有的， 我們是用手指輸入密碼的， 在ATM機(jī)上肯定會(huì)留下指紋， 如果有人專(zhuān)門(mén)做了一些手腳的話， 也應(yīng)該能清晰的知道您剛才使用過(guò)的密碼。 但有個(gè)小問(wèn)題， 就是銀行為了保護(hù)儲(chǔ)戶(hù)安全， 設(shè)定了輸入3次錯(cuò)誤密碼就自動(dòng)吞卡的機(jī)制， 這時(shí)自己復(fù)制的銀行卡就有用武之地了。 當(dāng)然， 被ATM機(jī)吞了卡后， 黑客通常會(huì)換地方繼續(xù)嘗試破解， 否則見(jiàn)光的可能性會(huì)更高。 即使在柜臺(tái)上， 你也能輕松的要回銀行卡， 但通常凡是有點(diǎn)頭腦的“賊”都不會(huì)這么做的， 那樣無(wú)疑是給自己增加入獄的可能。 中國(guó)有句古話：鐵杵磨成針， 只要有時(shí)間和耐心， 讓黑客惦記上， 準(zhǔn)跑不了。 也許有人會(huì)懷疑， 這么簡(jiǎn)單就能破解密碼， 那誰(shuí)都能做黑客了。 答案就是這么簡(jiǎn)單， 其實(shí)你會(huì)捫心自問(wèn)一下， 自己的銀行密碼很復(fù)雜么？我想大多數(shù)人的銀行密碼都非常簡(jiǎn)單。 我曾經(jīng)專(zhuān)門(mén)拿身邊的朋友， 親戚， 同學(xué)等人做了測(cè)試， 得到了以下的結(jié)論：一些儲(chǔ)戶(hù)為了好記密碼， 取款密碼使用自己的生日號(hào)碼， 還有更多的人還是喜歡把家中電話號(hào)碼做為密碼， 最有意思的是有人居然把取款密碼設(shè)定為了123456， 我問(wèn)他為什么， 人家說(shuō)了， 別人都把密碼設(shè)定的特復(fù)雜， 我反倒要簡(jiǎn)單， 越危險(xiǎn)的地方就是最安全的地方。 呵呵， 這位仁兄的理解， 實(shí)在是搞笑。 對(duì)于那些設(shè)定為123456的人來(lái)說(shuō)， 你的密碼就更可說(shuō)是形同虛設(shè)， 真不知道當(dāng)初銀行為什么要把我們的取款密碼設(shè)定為6位。 這也從另一方面說(shuō)明了黑客為什么會(huì)輕松的破解密碼。

　　通過(guò)ATM來(lái)破解密碼， 銀行也要負(fù)責(zé)。 如果我們忘記取卡了， 很少有機(jī)器發(fā)出提示警告或者發(fā)出報(bào)警聲響， 在今天壓力較大的社會(huì)， 我想到了李

　　寧專(zhuān)賣(mài)店上醒目的臺(tái)詞：一切都有可能， 所以忘記拔卡也不是不可能出現(xiàn)的。

　　入侵銀行數(shù)據(jù)庫(kù)的大牛

　　到這里大功基本告成。 剩下的事就是考慮如何花掉這些非法所得的金錢(qián)了。 上面介紹的都是一些常規(guī)手段， 還有一非常規(guī)手段， 就需要有真正的黑客技術(shù)了， 曾經(jīng)有大牛拿假身份證去辦卡， 然后入侵某銀行的數(shù)據(jù)庫(kù)， 給自己開(kāi)了剛辦的這張卡里存了一元錢(qián)， 第二天， 在ATM機(jī)上則如假包換的有了11元錢(qián)。 這就證明了網(wǎng)絡(luò)世界里沒(méi)有絕對(duì)安全的理論。

　　為了更加形象的說(shuō)明常規(guī)手段， 下面是一段情景再現(xiàn)：

　　他， 穿黑色套頭的運(yùn)動(dòng)上衣， 頭戴白色網(wǎng)球帽， 使用一張銀行卡， 在人較少的時(shí)間段進(jìn)入ATM操作間， 把卡放入入卡口那里， 然后把取款機(jī)上的探頭利用口香糖或雙面膠封存， 利用液體口香糖噴灑在輸入鍵盤(pán)之上， 因?yàn)槭潜硨?duì)銀行的攝象頭， 所以操作的時(shí)候是無(wú)法捕獲到的， 然后熟練的取卡， 注意這里， 他帶著手套， 不會(huì)破壞掉原本設(shè)立好的陷阱。 然后在旁邊機(jī)器上以查詢(xún)服務(wù)為掩護(hù)， 等待魚(yú)兒上鉤。 在受害人插入銀行卡后， 輸入密碼的時(shí)候， 取錢(qián)完畢后， 他便利用得到的取款小票（多數(shù)人都是取完款， 把小票隨手扔在垃圾筒里面）來(lái)仿制出跟你相似的銀行卡， 根據(jù)你在鍵盤(pán)上的指紋， 來(lái)記錄你的取款密碼……剩下的事， 大家就都知道了。

　　作為用戶(hù)我們應(yīng)該怎樣避免這些被盜竊事件的發(fā)生？

　　1、網(wǎng)銀用戶(hù)輸入密碼的時(shí)候采用叉分圖標(biāo)法， 利用鼠標(biāo)不斷切換光標(biāo)來(lái)輸入密碼， 以防止被hook跟蹤， 一個(gè)星期更換一次個(gè)人密碼， 采用手動(dòng)

　　記錄。

　　2、不要太相信計(jì)算機(jī)， 把密碼本放在別人不容易找到和看到的地方， 不再使用生日做為密碼， 電話號(hào)碼。 手機(jī)， 名字大小寫(xiě)來(lái)設(shè)立網(wǎng)銀密碼。

　　3、勤打系統(tǒng)補(bǔ)丁， 升級(jí)殺毒軟件， 一旦發(fā)現(xiàn)網(wǎng)銀損失， 立即報(bào)案， 讓*協(xié)助追查， 不要想著散財(cái)?shù)酶＃?貽誤捕獲銀行黑客的最佳時(shí)機(jī)。