中国黑客攻击网上银行现状分析
【摘要】在网络信息时代的今天 网络安全问题日趋严重黑客攻防技术成为当今网络技术关注和发展的焦点。本文列举了五个近年来国内网上银行遭黑客攻击的典型案例剖析了黑客攻击的原理总结了几种常见的网上银行攻击技术并在最后给出了关于如何防范黑客攻击网上银行的三个建议。
【关键词】 网上银行黑客网络攻击木马钓鱼
引言
自上世纪90年代 中国各大银行纷纷推出网上银行服务以来 网上银行交易这个新兴的金融业务形式以其高效、灵活、低成本、全天候的便捷服务迅速聚集了大量用户并且还在吸引着更多未来用户。网络技术给网银服务带来了传统银行业务无法媲美的优越性同时也带来了一个对用户对银行都非常重要的课题——网上银行交易的安全性问题。因此网络银行和各种网上支付平台一直都是黑客和病毒作者们非常感兴趣的对象。随着近年来中国网上银行用户数量的突飞猛进越来越多的中国黑客开始针对国内各种在线银行业务发动攻击或编写木马。
一、典型案例
一
2004年7月黑龙江人付某使用了一种木马程序挂在自己的网站上荆州人赵蓉下载付某的软件木马就“进入”电脑屏幕上敲入的信息通过邮件发出账户、密码付某成功划出1万元抓获付某时他已获取7000多个全国各地储户的网上银行密码。
二
2004年10月三名犯罪分子从网上搜寻某银行储蓄卡卡号然后登陆该银行网上银行网站尝试破解弱口令并屡屡得手
三
2006年04月—5月,北京地区使用工商银行网上银行的客户,陆续有人发现自己账户中的存款被人转移到陌生账号上,被盗金额从几百到一万不等. 黑客使用伪造的工商银行的假网站,用户登录虚假网站后,网站的病毒程序会将盗窃来的账号密码发到指定的邮箱。
四
2005年7月某市17岁在校生刘某利用互联网传播“网银大盗”木马程序盗取了134个网民的银行账号和密码并将他人银行账户上的钱款转到自己的账户中先后共盗取他人存款5万余元
五
甘肃王某趁公司演示网上银行业务快速地记公司账号及网上银行客户卡密码。并找机会将12万元资金划拨到了其事先开立的“楚鑫”账户上
二、黑客攻击原理
一黑客的动机
从黑客行为上划分黑客有“善意”与“恶意”两种即所谓白帽White Hat及黑帽Black Hat。 白帽利用他们的技能做一些善事而黑帽则利用他们的技能做一些恶事。白帽长期致力于改善计算机社会及其资源为了改善服务质量及产品他们不断寻找弱点及脆弱性并公布于众。与白帽的动机相反黑帽主要从事一些破坏活动从事的是一种犯罪行为。
1 .好奇心
许多黑客声称他们只是对计算机网络感到好奇希望通过探究这些网络来更好地了解它们是如何工作的。
2.个人声望
通过破坏具有高价值的目标以提高在黑客社会中的可信度及知名度。
3. 窃取情报
在Internet上监视个人、企业及竞争对手的活动信息及数据文件 以达到窃取情报的目的。
4.金钱
有相当一部分的电脑犯罪是为了赚取金钱。
二黑客攻击的流程
尽管黑客攻击系统的技能有高低之分入侵系统手法多种多样但他们对目标系统实施攻击的流程却大致相同。其攻击过程可归纳为以下9个步骤踩点、
扫描、查点、获取访问权、权限提升、窃取、掩盖踪迹、创建后门、拒绝服务攻击。
1 .踩点
“踩点”原意为策划一项盗窃活动的准备阶段。举例来说 当盗贼决定抢劫一家银行时他们不会大摇大摆地走进去直接要钱而是狠下一番工夫来搜集这家银行的相关信息包括武装押运车的路线及运送时间、摄像头的位置、逃跑出口等信息。在黑客攻击领域 “踩点”是传统概念的电子化形式。 “踩点”的主要目的是获取目标的如下信息
1 因特网网络域名、网络地址分配、域名服务器、邮件交换主机、网关等关键系统的位置及软硬件信息。
2 内联网与Internet内容类似但主要关注内部网络的独立地址空间及名称空间。
3 远程访问模拟/数字电话号码和VPN访问点。
4 外联网与合作伙伴及子公司的网络的连接地址、连接类型及访问控制机制。
5 开放资源未在前4类中列出的信息例如Usenet、雇员配置文件等。
2.扫描
通过踩点已获得一定信息 IP地址范围、 DNS服务器地址、邮件服务器地址等下一步需要确定目标网络范围内哪些系统是“活动”的 以及它们提供哪些服务。与盗窃案之前的踩点相比扫描就像是辨别建筑物的位置并观察它们有哪些门窗。扫描的主要目的是使攻击者对攻击的目标系统所提供的各种服务进行评估 以便集中精力在最有希望的途径上发动攻击。
扫描中采用的主要技术有Ping扫射Ping Sweep、 TCP/UDP端口扫描、操作系统检测以及旗标banner的获取。
3.查点
通过扫描入侵者掌握了目标系统所使用的操作系统下一步工作是查点。查点就是搜索特定系统上用户和用户组名、路由表、 SNMP信息、共享资源、服务程序及旗标等信息。查点所采用的技术依操作系统而定。
在Windows系统上主要采用的技术有“查点NetBIOS”线路、空会话Nul lSession、 SNMP代理、活动目录Active Di rectory等。
4.获取访问权
在搜集到目标系统的足够信息后下一步要完成的工作自然是得到目标系统的访问权进而完成对目标系统的入侵。对于Windows系统采用的主要技术有NetBIOS拟SMB密码猜测包括手工及字典猜测、窃听LM及NTLM认证散列、攻击I IS Web服务器及远程缓冲区溢出。而UNIX系统采用的主要技术有蛮力密码攻击密码窃听通过向某个活动的服务发送精心构造的数据以产生攻击者所希望的结果的数据驱动式攻击(例如缓冲区溢出、输入验证、字典攻击等) RPC攻击 NFS攻击以及针对X-Windows系统的攻击等。
5.权限提升
一旦攻击者通过前面4步获得了系统上任意普通用户的访问权限后攻击者就会试图将普通用户权限提升至超级用户权限以便完成对系统的完全控制。这种从一个较低权限开始通过各种攻击手段得到较高权限的过程称为权限提升。权限提升所采取的技术主要有通过得到的密码文件利用现有工具软件破解系统上其他用户名及口令利用不同操作系统及服务的漏洞例如Windows 2000
NetDDE漏洞利用管理员不正确的系统配置等。
6.窃取
一旦攻击者得到了系统的完全控制权接下来将完成的工作是窃取即进行一些敏感数据的篡改、添加、删除及复制例如Windows系统的注册表、 UNIX系统的rhost文件等。通过对敏感数据的分析为进一步攻击应用系统做准备。
7.掩盖踪迹
黑客并非踏雪无痕一旦黑客入侵系统必然留下痕迹。此时黑客需要做的首要工作就是清除所有入侵痕迹避免自己被检测出来以便能够随时返回被入侵系统继续干坏事或作为入侵其他系统的中继跳板。掩盖踪迹的主要工作有禁止系统审计、清空事件日志、隐藏作案工具及使用人们称为rootkit的工具组替换那些常用的操作系统命令。常用的清除日志工具有zap、 wzap、 wted。
8.创建后门
黑客的最后一招便是在受害系统上创建一些后门及陷阱以便入侵者一时兴起时卷土重来并能以特权用户的身份控制整个系统。创建后门的主要方法有创建具有特权用户权限的虚假用户账号、安装批处理、安装远程控制工具、使用木马程序替换系统程序、安装监控机制及感染启动文件等。
9.拒绝服务攻击
如果黑客未能成功地完成第四步的获取访问权那么他们所能采取的最恶毒的手段便是进行拒绝服务攻击。即使用精心准备好的漏洞代码攻击系统使目标服务器资源耗尽或资源过载以至于没有能力再向外提供服务。攻击所采用的技术主要是利用协议漏洞及不同系统实现的漏洞。
三黑客入侵技术
目前在实施网络攻击中黑客所使用的入侵技术主要包括以下六种
1 .协议漏洞渗透
网络中包含着种类繁多但层次清晰的网络协议规范。这些协议规范是网络运行的基本准则也是构建在其上的各种应用和服务的运行基础。但对于底层的网络协议来说对于安全的考虑有着先天的不足部分网络协议具有严重的安全漏洞。通过对网络标准协议的分析黑客可以从中总结出针对协议的攻击过程利用协议的漏洞实现对目标网络的攻击。
2.密码分析还原
密码分析还原技术主要分为密码还原技术和密码猜测技术。对于网络上通用的标准加密算法来说攻击这类具有很高强度加密算法的手段通常是使用后一种技术。在进行攻击的时候密码分析还原所针对的对象主要是通过其他侦听手段获取到的认证数据信息包括系统存储认证信息的文件或利用连接侦听手段获取的用户登录的通信信息数据。
3.应用漏洞分析与渗透
任何应用程序都不可避免地存在着一些逻辑漏洞操作系统也不例外几乎每天都有人宣布发现了某个操作系统的安全漏洞。而这些安全漏洞也就成为了入侵者的攻击对象。通过对这些安全漏洞的分析确认漏洞的引发方式以及引发后对系统造成的影响攻击者可以使用合适的攻击程序引发漏洞的启动破坏整个服务系统的运行过程进而渗透到服务系统中造成目标网络的损失。
4.社会工程学
社会工程学与黑客使用的其他技术具有很大的差别它所研究的对象不是严谨的计算机技术而是目标网络的人员。社会工程学主要是利用说服或欺骗的方
法来获得对信息系统的访问。这种说服和欺骗通常是通过和人交流或其他互动方式实现的。
5.拒绝服务攻击
拒绝服务攻击最主要的目的是造成被攻击服务器资源耗尽或系统崩溃而无法提供服务。这样的入侵对于服务器来说可能并不会造成损害但可以造成人们对被攻击服务器所提供服务的信任度下降影响公司的声誉以及用户对网络服务的使用。这类攻击主要还是利用网络协议的一些薄弱环节通过发送大量无效请求数据包造成服务器进程无法短期释放大量积累耗尽系统资源使得服务器无法对正常的请求进行响应造成服务的瘫痪。
6.病毒或后门攻击
计算机病毒检测与网络入侵防御在计算机与网络技术不断发展的促进下出现了需要共同防御的敌人。现在的病毒不仅仅只是通过磁盘才能传播为了适应网络日益普及的形式病毒也在自身的传播方式中加入了网络这个可能会造成更大危害的传播媒介。为了能够在网络上传播病毒也越来越多地继承了网络入侵的一些特性成为一种自动化的软体网络入侵者。它们利用网络入侵技术通过网络进行广泛的传播渗透红色代码病毒就属此类。它们利用网络入侵的方式侵入计算机并利用被感染计算机对周围的计算机进行入侵扫描以进一步传播感染其他的计算机。
三、黑客攻击网上银行的常用手段
一盗号木马
1 .虚假网站和服务器攻击
黑客首先建立一个酷似网上银行官方网站的虚假网页该网页诱骗用户输入帐号密码等信息或者包含用于种植木马的恶意脚本。然后给假网页申请一个酷似官方网址的域名等待用户由于拼写错误而连接进来有时黑客也会花几十元购买一个包含几百万邮箱地址的数据库然后向这些邮箱发送“钓鱼”邮件。邮件内容通常包含煞有其事的文字引诱用户访问假网页。无论哪种欺骗方式一旦用户上当受骗他们的隐私数据都会被发送到黑客那里。
2.键盘记录
记录用户的键盘输入是网上银行木马最常用的手段之一。这类木马一般会监视用户正在操作的窗口如果发现用户正在访问某网上银行系统的登录页面就开始记录所有从键盘输入的内容。这种方法很通用也很简单用于获取网上银行帐号密码时效果一直很好。
2004年1 1月的“网银大盗Ⅱ”木马是一个典型的例子它把几乎所有的国内网上银行系统都列为盗窃的目标。在测试中只有少数提供虚拟键盘技术的登录系统可以避开它。
3.嵌入浏览器执行
多数网上银行交易都是通过网页浏览器完成的嵌入浏览器进程中的恶意代码能够获取用户当前访问的页面地址和页面内容还能够在用户数据以SSL安全加密方式发送出去之前获取它们。利用这种技术的木马通常会动态改变用户正在浏览的页面内容 比如增加一段用以获得帐号和密码然后发送出去的网页脚本或者让浏览器自动打开另外一个恶意的网页。使用网页脚本制作的虚拟键盘在对付这类木马时会完全失效。
“网银大盗”木马就利用了这种技术它监测到用户正在访问某个引用了安全登录控件的地址时就会让浏览器自动跳转到另外一个网页。后者看上去和正常登录页面没什么两样只是没有任何安全登录控件的保护。
对于那些只对交易对话进行验证而没有对交易过程进行验证的系统嵌入浏览器的恶意代码甚至可以完全控制一次交易。这样的交易系统只对用户身份进行验证而在用户身份确定之后无条件的执行任何来自用户的指令。木马可以等到用户验证通过后再开始工作拦截用户的转账操作篡改数据后发送给服务器服务器没有办法区分给它发出转账指令的是用户还是木马直接执行了转账木马再把服务器返回的信息篡改后显示给用户。 目前这种技术只在国外的一些网上银行木马上看到 国内尚未发现这样的例子。
4.屏幕“录像”
有些网上银行木马的确会进行“录像” 它们并不会生成体积庞大的视频文件而只是在键盘记录的基础上额外记录了用户点击鼠标时的鼠标坐标以及当时的屏幕截图。黑客根据这些数据可以完全回放出用户在进行交易时敲击了哪些键、点击了哪些按钮、看到了什么结果。
5.窃取数字文件
数字证书是网上银行交易的一项重要安全保护措施。有些系统允许用户把证书保存成硬盘文件然而这是一个安全隐患。 2004年9月 TrojanSpy.Banker. s和TrojanSpy.Banker.t的作者仔细观察了某个人银行系统保存证书的整个流程后编写了木马他的程序能够准确识别这个流程的每个步骤 自动记录必要的数据最终再复制一份证书文件。木马作者利用盗取的证书和其他必要信息达到非法使用证书的最终目的。
6.伪装窗口
2006年国内出现了一系列新的网银木马它们都是TrojanSpy.Banker.yy的变种感染了很多用户。这类木马首先向IE浏览器注入一个DLL用以监视当前网页的网址同时记录键盘。当发现用户输入了卡号、密码并进行提交以后迅速隐藏浏览器弹出自己的窗口。木马弹出的窗口看上去和在线理财的页面非常相似并且包含一些“钓鱼”文字称由于系统维护需要用户必须重新输入密码。只有当用户再次输入的密码和最初登录时的密码吻合时木马才会把密码发送给木马作者。
二钓鱼网站
网上银行钓鱼网站主要是申请一个与真实网上银行网站相似的域名 比如www. 1 cbc.com.cn(注意这里是1不是i )此域名将链接到黑客伪造的网上银行页面不明真相的用户访问该伪装网站很容易就泄露了自己网上银行的账号密码。
三公共无线网络陷阱
在通过公共免费无线网络分享好吃的、好玩的、好看的同时也可能将自己的个人信息“分享”出去。不少网友因使用公共无线网络出现过信用卡被盗刷的情况更有黑客宣称15分钟便可以盗取咖啡客银行账号和密码。
交通银行信用卡中心专家表示 目前几乎任何人都可以设置热点。攻击电脑最简单的方法之一就是假装成一个热点等待别人来链接。因此在公共网络可刷微博、玩微信、打游戏但切莫使用公共网络进行网上支付、转账、还款等交易防止不法分子盗取信息。在手机和电脑上操作网上银行时尽量使用银行官网提供的客户端而非网页版这样可以降低登录钓鱼网站的风险。
四、防范黑客攻击网上银行的几点建议
一、加强网上银行用户的安全意识
虽然用户的安全意识无法抵御精心制作的木马但它在网上银行木马防范工作中仍是非常重要的因素。定期检查安装微软安全更新程序、每天升级反病毒软件的病毒库、不要轻信不明邮件里面的内容、不要随意在不明网页上提交自己的网上银行帐号密码、给自己计算机的管理员帐号设置一个不太容易猜出来的密码这些听起来很简单也很基本的措施能够避免感染绝大多数的网上银行木马。但实际情况告诉我们 目前国内大多数用户仍然没有做到这些。
加强对用户进行网上银行交易安全意识的宣传是金融业、网络安全业和媒体共同的责任。
二、加强网上银行交易的安全性
自网上银行交易以来网上银行交易在安全性方面得到了显著的提高。但网上银行木马作者们在挖掘和利用系统漏洞方面的能力总是超出我们的想象。越安全的交易系统能够通过它获得非法利益的木马作者就越少。因此不断加强网上银行交易的安全性能是网上银行木马防范中的重要环节。因此反病毒厂家应以很低的价格向银行提供反病毒软件产品OEM方式约不到5元人民币/年服务费银行应向本银行的存取卡用户在收取卡费时应不另收费的方式或少收的工本费的方式向用户发放反病毒软件。
另外银行的网站应和反病毒厂家联合起来开展网上在线杀毒这样用户在登陆银行网站时可选择在线杀毒可预防用户电脑中有病毒。
三、加强政府部门、金融单位和安全厂商的紧密合作
公安机关对网络犯罪的打击逐年增强破获了很多大案。统计数据告诉我们还是有很多黑客和木马作者铤而走险继续制造木马程序、建立恶意网站、攻击网站服务器。有的恶意网站存活周期长达几个月感染了很多用户。监督网络环境、加强网站管理、打击重大网络犯罪是震慑木马作者、削减木马存活环境的必要措施。
结束语
进一步规范网络秩序、保护广大网上银行用户的利益是政府部门、金融单位和安全厂商的共同责任。在防范和打击网银犯罪方面三方各自拥有的职能和信息是很好的互补。加强三方的合作充分利用彼此资源能够事半功倍更加有效的抑制网上银行木马、创造更加健康繁荣的网络交易环境。
参考文献
【1】 张爱菊、熊平、朱平、陆安生 电子商务安全技术清华大学出版社 2013-02
【2】 谢希仁计算机网络(第4版) [M] 北京 电子工业出版社 2003
【3】 余建斌 《黑客的攻击手段及用户对策》北京人民邮电出版社 l998
【4】 朱建军 网络安全防范手册人民邮电出版社 2007年7月
RFCHOST,这个服务商我们可能有一些朋友知道的。不要看官网是英文就以为是老外服务商,实际上这个服务商公司在上海。我们实际上看到的很多商家,有的是繁体,有的是英文,实际上很多都是我们国人朋友做的,有的甚至还做好几个品牌域名,实际上都是一个公司。对于RFCHOST商家还是第一次分享他们家的信息,公司成立大约2015年左右。目前RFCHOST洛杉矶机房VPS正进行优惠促销,采用CN2优化线路,电信双...
云雀云(larkyun)当前主要运作国内线路的机器,最大提供1Gbps服务器,有云服务器(VDS)、也有独立服务器,对接国内、国外的效果都是相当靠谱的。此外,还有台湾hinet线路的动态云服务器和静态云服务器。当前,larkyun对广州移动二期正在搞优惠促销!官方网站:https://larkyun.top付款方式:支付宝、微信、USDT广移二期开售8折折扣码:56NZVE0YZN (试用于常州联...
Hostodo又发布了几款针对7月4日美国独立日的优惠套餐(Independence Day Super Sale),均为年付,基于KVM架构,采用NVMe硬盘,最低13.99美元起,可选拉斯维加斯或者迈阿密机房。这是一家成立于2014年的国外VPS主机商,主打低价VPS套餐且年付为主,基于OpenVZ和KVM架构,产品性能一般,支持使用PayPal或者支付宝等付款方式。商家客服响应也比较一般,推...