网上银行中国黑客攻击网上的银行现状解析告

中国黑客攻击网上银行现状分析

【摘要】在网络信息时代的今天 网络安全问题日趋严重黑客攻防技术成为当今网络技术关注和发展的焦点。本文列举了五个近年来国内网上银行遭黑客攻击的典型案例剖析了黑客攻击的原理总结了几种常见的网上银行攻击技术并在最后给出了关于如何防范黑客攻击网上银行的三个建议。

【关键词】 网上银行黑客网络攻击木马钓鱼

引言

自上世纪90年代 中国各大银行纷纷推出网上银行服务以来 网上银行交易这个新兴的金融业务形式以其高效、灵活、低成本、全天候的便捷服务迅速聚集了大量用户并且还在吸引着更多未来用户。网络技术给网银服务带来了传统银行业务无法媲美的优越性同时也带来了一个对用户对银行都非常重要的课题——网上银行交易的安全性问题。因此网络银行和各种网上支付平台一直都是黑客和病毒作者们非常感兴趣的对象。随着近年来中国网上银行用户数量的突飞猛进越来越多的中国黑客开始针对国内各种在线银行业务发动攻击或编写木马。

一、典型案例

一

2004年7月黑龙江人付某使用了一种木马程序挂在自己的网站上荆州人赵蓉下载付某的软件木马就“进入”电脑屏幕上敲入的信息通过邮件发出账户、密码付某成功划出1万元抓获付某时他已获取7000多个全国各地储户的网上银行密码。

二

2004年10月三名犯罪分子从网上搜寻某银行储蓄卡卡号然后登陆该银行网上银行网站尝试破解弱口令并屡屡得手

三

2006年04月—5月,北京地区使用工商银行网上银行的客户,陆续有人发现自己账户中的存款被人转移到陌生账号上,被盗金额从几百到一万不等. 黑客使用伪造的工商银行的假网站,用户登录虚假网站后,网站的病毒程序会将盗窃来的账号密码发到指定的邮箱。

四

2005年7月某市17岁在校生刘某利用互联网传播“网银大盗”木马程序盗取了134个网民的银行账号和密码并将他人银行账户上的钱款转到自己的账户中先后共盗取他人存款5万余元

五

甘肃王某趁公司演示网上银行业务快速地记公司账号及网上银行客户卡密码。并找机会将12万元资金划拨到了其事先开立的“楚鑫”账户上

二、黑客攻击原理

一黑客的动机

从黑客行为上划分黑客有“善意”与“恶意”两种即所谓白帽White Hat及黑帽Black Hat。 白帽利用他们的技能做一些善事而黑帽则利用他们的技能做一些恶事。白帽长期致力于改善计算机社会及其资源为了改善服务质量及产品他们不断寻找弱点及脆弱性并公布于众。与白帽的动机相反黑帽主要从事一些破坏活动从事的是一种犯罪行为。

1 .好奇心

许多黑客声称他们只是对计算机网络感到好奇希望通过探究这些网络来更好地了解它们是如何工作的。

2.个人声望

通过破坏具有高价值的目标以提高在黑客社会中的可信度及知名度。

3. 窃取情报

在Internet上监视个人、企业及竞争对手的活动信息及数据文件 以达到窃取情报的目的。

4.金钱

有相当一部分的电脑犯罪是为了赚取金钱。

二黑客攻击的流程

尽管黑客攻击系统的技能有高低之分入侵系统手法多种多样但他们对目标系统实施攻击的流程却大致相同。其攻击过程可归纳为以下9个步骤踩点、

扫描、查点、获取访问权、权限提升、窃取、掩盖踪迹、创建后门、拒绝服务攻击。

1 .踩点

“踩点”原意为策划一项盗窃活动的准备阶段。举例来说 当盗贼决定抢劫一家银行时他们不会大摇大摆地走进去直接要钱而是狠下一番工夫来搜集这家银行的相关信息包括武装押运车的路线及运送时间、摄像头的位置、逃跑出口等信息。在黑客攻击领域 “踩点”是传统概念的电子化形式。 “踩点”的主要目的是获取目标的如下信息

1  因特网网络域名、网络地址分配、域名服务器、邮件交换主机、网关等关键系统的位置及软硬件信息。

2 内联网与Internet内容类似但主要关注内部网络的独立地址空间及名称空间。

3 远程访问模拟/数字电话号码和VPN访问点。

4 外联网与合作伙伴及子公司的网络的连接地址、连接类型及访问控制机制。

5 开放资源未在前4类中列出的信息例如Usenet、雇员配置文件等。

2.扫描

通过踩点已获得一定信息 IP地址范围、 DNS服务器地址、邮件服务器地址等下一步需要确定目标网络范围内哪些系统是“活动”的 以及它们提供哪些服务。与盗窃案之前的踩点相比扫描就像是辨别建筑物的位置并观察它们有哪些门窗。扫描的主要目的是使攻击者对攻击的目标系统所提供的各种服务进行评估 以便集中精力在最有希望的途径上发动攻击。

扫描中采用的主要技术有Ping扫射Ping Sweep、 TCP/UDP端口扫描、操作系统检测以及旗标banner的获取。

3.查点

通过扫描入侵者掌握了目标系统所使用的操作系统下一步工作是查点。查点就是搜索特定系统上用户和用户组名、路由表、 SNMP信息、共享资源、服务程序及旗标等信息。查点所采用的技术依操作系统而定。

在Windows系统上主要采用的技术有“查点NetBIOS”线路、空会话Nul lSession、 SNMP代理、活动目录Active Di rectory等。

4.获取访问权

在搜集到目标系统的足够信息后下一步要完成的工作自然是得到目标系统的访问权进而完成对目标系统的入侵。对于Windows系统采用的主要技术有NetBIOS拟SMB密码猜测包括手工及字典猜测、窃听LM及NTLM认证散列、攻击I IS Web服务器及远程缓冲区溢出。而UNIX系统采用的主要技术有蛮力密码攻击密码窃听通过向某个活动的服务发送精心构造的数据以产生攻击者所希望的结果的数据驱动式攻击(例如缓冲区溢出、输入验证、字典攻击等)  RPC攻击 NFS攻击以及针对X-Windows系统的攻击等。

5.权限提升

一旦攻击者通过前面4步获得了系统上任意普通用户的访问权限后攻击者就会试图将普通用户权限提升至超级用户权限以便完成对系统的完全控制。这种从一个较低权限开始通过各种攻击手段得到较高权限的过程称为权限提升。权限提升所采取的技术主要有通过得到的密码文件利用现有工具软件破解系统上其他用户名及口令利用不同操作系统及服务的漏洞例如Windows 2000

NetDDE漏洞利用管理员不正确的系统配置等。

6.窃取

一旦攻击者得到了系统的完全控制权接下来将完成的工作是窃取即进行一些敏感数据的篡改、添加、删除及复制例如Windows系统的注册表、 UNIX系统的rhost文件等。通过对敏感数据的分析为进一步攻击应用系统做准备。

7.掩盖踪迹

黑客并非踏雪无痕一旦黑客入侵系统必然留下痕迹。此时黑客需要做的首要工作就是清除所有入侵痕迹避免自己被检测出来以便能够随时返回被入侵系统继续干坏事或作为入侵其他系统的中继跳板。掩盖踪迹的主要工作有禁止系统审计、清空事件日志、隐藏作案工具及使用人们称为rootkit的工具组替换那些常用的操作系统命令。常用的清除日志工具有zap、 wzap、 wted。

8.创建后门

黑客的最后一招便是在受害系统上创建一些后门及陷阱以便入侵者一时兴起时卷土重来并能以特权用户的身份控制整个系统。创建后门的主要方法有创建具有特权用户权限的虚假用户账号、安装批处理、安装远程控制工具、使用木马程序替换系统程序、安装监控机制及感染启动文件等。

9.拒绝服务攻击

如果黑客未能成功地完成第四步的获取访问权那么他们所能采取的最恶毒的手段便是进行拒绝服务攻击。即使用精心准备好的漏洞代码攻击系统使目标服务器资源耗尽或资源过载以至于没有能力再向外提供服务。攻击所采用的技术主要是利用协议漏洞及不同系统实现的漏洞。

三黑客入侵技术

目前在实施网络攻击中黑客所使用的入侵技术主要包括以下六种

1 .协议漏洞渗透

网络中包含着种类繁多但层次清晰的网络协议规范。这些协议规范是网络运行的基本准则也是构建在其上的各种应用和服务的运行基础。但对于底层的网络协议来说对于安全的考虑有着先天的不足部分网络协议具有严重的安全漏洞。通过对网络标准协议的分析黑客可以从中总结出针对协议的攻击过程利用协议的漏洞实现对目标网络的攻击。

2.密码分析还原

密码分析还原技术主要分为密码还原技术和密码猜测技术。对于网络上通用的标准加密算法来说攻击这类具有很高强度加密算法的手段通常是使用后一种技术。在进行攻击的时候密码分析还原所针对的对象主要是通过其他侦听手段获取到的认证数据信息包括系统存储认证信息的文件或利用连接侦听手段获取的用户登录的通信信息数据。

3.应用漏洞分析与渗透

任何应用程序都不可避免地存在着一些逻辑漏洞操作系统也不例外几乎每天都有人宣布发现了某个操作系统的安全漏洞。而这些安全漏洞也就成为了入侵者的攻击对象。通过对这些安全漏洞的分析确认漏洞的引发方式以及引发后对系统造成的影响攻击者可以使用合适的攻击程序引发漏洞的启动破坏整个服务系统的运行过程进而渗透到服务系统中造成目标网络的损失。

4.社会工程学

社会工程学与黑客使用的其他技术具有很大的差别它所研究的对象不是严谨的计算机技术而是目标网络的人员。社会工程学主要是利用说服或欺骗的方

法来获得对信息系统的访问。这种说服和欺骗通常是通过和人交流或其他互动方式实现的。

5.拒绝服务攻击

拒绝服务攻击最主要的目的是造成被攻击服务器资源耗尽或系统崩溃而无法提供服务。这样的入侵对于服务器来说可能并不会造成损害但可以造成人们对被攻击服务器所提供服务的信任度下降影响公司的声誉以及用户对网络服务的使用。这类攻击主要还是利用网络协议的一些薄弱环节通过发送大量无效请求数据包造成服务器进程无法短期释放大量积累耗尽系统资源使得服务器无法对正常的请求进行响应造成服务的瘫痪。

6.病毒或后门攻击

计算机病毒检测与网络入侵防御在计算机与网络技术不断发展的促进下出现了需要共同防御的敌人。现在的病毒不仅仅只是通过磁盘才能传播为了适应网络日益普及的形式病毒也在自身的传播方式中加入了网络这个可能会造成更大危害的传播媒介。为了能够在网络上传播病毒也越来越多地继承了网络入侵的一些特性成为一种自动化的软体网络入侵者。它们利用网络入侵技术通过网络进行广泛的传播渗透红色代码病毒就属此类。它们利用网络入侵的方式侵入计算机并利用被感染计算机对周围的计算机进行入侵扫描以进一步传播感染其他的计算机。

三、黑客攻击网上银行的常用手段

一盗号木马

1 .虚假网站和服务器攻击

黑客首先建立一个酷似网上银行官方网站的虚假网页该网页诱骗用户输入帐号密码等信息或者包含用于种植木马的恶意脚本。然后给假网页申请一个酷似官方网址的域名等待用户由于拼写错误而连接进来有时黑客也会花几十元购买一个包含几百万邮箱地址的数据库然后向这些邮箱发送“钓鱼”邮件。邮件内容通常包含煞有其事的文字引诱用户访问假网页。无论哪种欺骗方式一旦用户上当受骗他们的隐私数据都会被发送到黑客那里。

2.键盘记录

记录用户的键盘输入是网上银行木马最常用的手段之一。这类木马一般会监视用户正在操作的窗口如果发现用户正在访问某网上银行系统的登录页面就开始记录所有从键盘输入的内容。这种方法很通用也很简单用于获取网上银行帐号密码时效果一直很好。

2004年1 1月的“网银大盗Ⅱ”木马是一个典型的例子它把几乎所有的国内网上银行系统都列为盗窃的目标。在测试中只有少数提供虚拟键盘技术的登录系统可以避开它。

3.嵌入浏览器执行

多数网上银行交易都是通过网页浏览器完成的嵌入浏览器进程中的恶意代码能够获取用户当前访问的页面地址和页面内容还能够在用户数据以SSL安全加密方式发送出去之前获取它们。利用这种技术的木马通常会动态改变用户正在浏览的页面内容 比如增加一段用以获得帐号和密码然后发送出去的网页脚本或者让浏览器自动打开另外一个恶意的网页。使用网页脚本制作的虚拟键盘在对付这类木马时会完全失效。

“网银大盗”木马就利用了这种技术它监测到用户正在访问某个引用了安全登录控件的地址时就会让浏览器自动跳转到另外一个网页。后者看上去和正常登录页面没什么两样只是没有任何安全登录控件的保护。

对于那些只对交易对话进行验证而没有对交易过程进行验证的系统嵌入浏览器的恶意代码甚至可以完全控制一次交易。这样的交易系统只对用户身份进行验证而在用户身份确定之后无条件的执行任何来自用户的指令。木马可以等到用户验证通过后再开始工作拦截用户的转账操作篡改数据后发送给服务器服务器没有办法区分给它发出转账指令的是用户还是木马直接执行了转账木马再把服务器返回的信息篡改后显示给用户。 目前这种技术只在国外的一些网上银行木马上看到 国内尚未发现这样的例子。

4.屏幕“录像”

有些网上银行木马的确会进行“录像” 它们并不会生成体积庞大的视频文件而只是在键盘记录的基础上额外记录了用户点击鼠标时的鼠标坐标以及当时的屏幕截图。黑客根据这些数据可以完全回放出用户在进行交易时敲击了哪些键、点击了哪些按钮、看到了什么结果。

5.窃取数字文件

数字证书是网上银行交易的一项重要安全保护措施。有些系统允许用户把证书保存成硬盘文件然而这是一个安全隐患。 2004年9月 TrojanSpy.Banker. s和TrojanSpy.Banker.t的作者仔细观察了某个人银行系统保存证书的整个流程后编写了木马他的程序能够准确识别这个流程的每个步骤 自动记录必要的数据最终再复制一份证书文件。木马作者利用盗取的证书和其他必要信息达到非法使用证书的最终目的。

6.伪装窗口

2006年国内出现了一系列新的网银木马它们都是TrojanSpy.Banker.yy的变种感染了很多用户。这类木马首先向IE浏览器注入一个DLL用以监视当前网页的网址同时记录键盘。当发现用户输入了卡号、密码并进行提交以后迅速隐藏浏览器弹出自己的窗口。木马弹出的窗口看上去和在线理财的页面非常相似并且包含一些“钓鱼”文字称由于系统维护需要用户必须重新输入密码。只有当用户再次输入的密码和最初登录时的密码吻合时木马才会把密码发送给木马作者。

二钓鱼网站

网上银行钓鱼网站主要是申请一个与真实网上银行网站相似的域名 比如www. 1 cbc.com.cn(注意这里是1不是i )此域名将链接到黑客伪造的网上银行页面不明真相的用户访问该伪装网站很容易就泄露了自己网上银行的账号密码。

三公共无线网络陷阱

在通过公共免费无线网络分享好吃的、好玩的、好看的同时也可能将自己的个人信息“分享”出去。不少网友因使用公共无线网络出现过信用卡被盗刷的情况更有黑客宣称15分钟便可以盗取咖啡客银行账号和密码。

交通银行信用卡中心专家表示 目前几乎任何人都可以设置热点。攻击电脑最简单的方法之一就是假装成一个热点等待别人来链接。因此在公共网络可刷微博、玩微信、打游戏但切莫使用公共网络进行网上支付、转账、还款等交易防止不法分子盗取信息。在手机和电脑上操作网上银行时尽量使用银行官网提供的客户端而非网页版这样可以降低登录钓鱼网站的风险。

四、防范黑客攻击网上银行的几点建议

一、加强网上银行用户的安全意识

虽然用户的安全意识无法抵御精心制作的木马但它在网上银行木马防范工作中仍是非常重要的因素。定期检查安装微软安全更新程序、每天升级反病毒软件的病毒库、不要轻信不明邮件里面的内容、不要随意在不明网页上提交自己的网上银行帐号密码、给自己计算机的管理员帐号设置一个不太容易猜出来的密码这些听起来很简单也很基本的措施能够避免感染绝大多数的网上银行木马。但实际情况告诉我们 目前国内大多数用户仍然没有做到这些。

加强对用户进行网上银行交易安全意识的宣传是金融业、网络安全业和媒体共同的责任。

二、加强网上银行交易的安全性

自网上银行交易以来网上银行交易在安全性方面得到了显著的提高。但网上银行木马作者们在挖掘和利用系统漏洞方面的能力总是超出我们的想象。越安全的交易系统能够通过它获得非法利益的木马作者就越少。因此不断加强网上银行交易的安全性能是网上银行木马防范中的重要环节。因此反病毒厂家应以很低的价格向银行提供反病毒软件产品OEM方式约不到5元人民币/年服务费银行应向本银行的存取卡用户在收取卡费时应不另收费的方式或少收的工本费的方式向用户发放反病毒软件。

另外银行的网站应和反病毒厂家联合起来开展网上在线杀毒这样用户在登陆银行网站时可选择在线杀毒可预防用户电脑中有病毒。

三、加强政府部门、金融单位和安全厂商的紧密合作

公安机关对网络犯罪的打击逐年增强破获了很多大案。统计数据告诉我们还是有很多黑客和木马作者铤而走险继续制造木马程序、建立恶意网站、攻击网站服务器。有的恶意网站存活周期长达几个月感染了很多用户。监督网络环境、加强网站管理、打击重大网络犯罪是震慑木马作者、削减木马存活环境的必要措施。

结束语

进一步规范网络秩序、保护广大网上银行用户的利益是政府部门、金融单位和安全厂商的共同责任。在防范和打击网银犯罪方面三方各自拥有的职能和信息是很好的互补。加强三方的合作充分利用彼此资源能够事半功倍更加有效的抑制网上银行木马、创造更加健康繁荣的网络交易环境。

参考文献

【1】 张爱菊、熊平、朱平、陆安生 电子商务安全技术清华大学出版社 2013-02

【2】 谢希仁计算机网络(第4版) [M] 北京 电子工业出版社 2003

【3】 余建斌 《黑客的攻击手段及用户对策》北京人民邮电出版社 l998

【4】 朱建军 网络安全防范手册人民邮电出版社 2007年7月