.PAGE.中國黑客攻擊網上銀行現狀分析[摘要]：在網絡信息時代的今天,網絡安全問題日趨嚴重,黑客攻防技術成為當今網絡技術關注和發展的焦點。本文列舉了五個近年來國內網上銀行遭黑客攻擊的典型案例,剖析了黑客攻擊的原理,總結了幾種常見的網上銀行攻擊技術,并在最后給出了關于如何防范黑客攻擊網上銀行的三個建議。[關鍵詞]：網上銀行黑客網絡攻擊木馬釣魚引言自上世紀90年代,中國各大銀行紛紛推出網上銀行服務以來,網上銀行交易這個新興的金融業務形式,以其高效、靈活、低成本、全天候的便捷服務,迅速聚集了大量用戶,并且還在吸引著更多未來用戶。網絡技術給網銀服務帶來了傳統銀行業務無法媲美的優越性,同時也帶來了一個對用戶對銀行都非常重要的課題——網上銀行交易的安全性問題。因此,網絡銀行和各種網上支付平臺一直都是黑客和病毒作者們非常感興趣的對象。隨著近年來中國網上銀行用戶數量的突飛猛進,越來越多的中國黑客開始針對國內各種在線銀行業務發動攻擊或編寫木馬。一、典型案例〔一20XX7月,XX人付某使用了一種木馬程序,掛在自己的網站上；荊州人趙蓉下載付某的軟件,木馬就"進入"電腦；屏幕上敲入的信息通過郵件發出：賬戶、密碼；付某成功劃出1萬元；抓獲付某時,他已獲取7000多個全國各地儲戶的網上銀行密碼。〔二20XX10月,三名犯罪分子從網上搜尋某銀行儲蓄卡卡號,然后登陸該銀行網上銀行網站,嘗試破解弱口令,并屢屢得手；〔三20XX04月—5月,北京地區使用工商銀行網上銀行的客戶,陸續有人發現自己賬戶中的存款被人轉移到陌生賬號上,被盜金額從幾百到一萬不等.黑客使用偽造的工商銀行的假網站,用戶登錄虛假網站后,網站的病毒程序會將盜竊來的賬號密碼發到指定的郵箱。〔四20XX7月,某市17歲在校生劉某,利用互聯網傳播"網銀大盜"木馬程序,盜取了134個網民的銀行賬號和密碼,并將他人銀行賬戶上的錢款轉到自己的賬戶中,先后共盜取他人存款5萬余元；〔五XX王某趁公司演示網上銀行業務,快速地記公司賬號及網上銀行客戶卡密碼。并找機會將12萬元資金劃撥到了其事先開立的"楚鑫"賬戶上；二、黑客攻擊原理〔一黑客的動機從黑客行為上劃分,黑客有"善意"與"惡意"兩種,即所謂白帽〔WhiteHat及黑帽〔BlackHat。白帽利用他們的技能做一些善事,而黑帽則利用他們的技能做一些惡事。白帽長期致力于改善計算機社會及其資源,為了改善服務質量及產品,他們不斷尋找弱點及脆弱性并公布于眾。與白帽的動機相反,黑帽主要從事一些破壞活動,從事的是一種犯罪行為。1.好奇心許多黑客聲稱,他們只是對計算機網絡感到好奇,希望通過探究這些網絡來更好地了解它們是如何工作的。2.個人聲望通過破壞具有高價值的目標以提高在黑客社會中的可信度及知名度。3.竊取情報在Internet上監視個人、企業及競爭對手的活動信息及數據文件,以達到竊取情報的目的。4.金錢有相當一部分的電腦犯罪是為了賺取金錢。〔二黑客攻擊的流程盡管黑客攻擊系統的技能有高低之分,入侵系統手法多種多樣,但他們對目標系統實施攻擊的流程卻大致相同。其攻擊過程可歸納為以下9個步驟：踩點、掃描、查點、獲取訪問權、權限提升、竊取、掩蓋蹤跡、創建后門、拒絕服務攻擊。1.踩點"踩點"原意為策劃一項盜竊活動的準備階段。舉例來說,當盜賊決定搶劫一家銀行時,他們不會大搖大擺地走進去直接要錢,而是狠下一番工夫來搜集這家銀行的相關信息,包括武裝押運車的路線及運送時間、攝像頭的位置、逃跑出口等信息。在黑客攻擊領域,"踩點"是傳統概念的電子化形式。"踩點"的主要目的是獲取目標的如下信息：〔1因特網網絡域名、網絡地址分配、域名服務器、郵件交換主機、網關等關鍵系統的位置及軟硬件信息。〔2內聯網與Internet內容類似,但主要關注內部網絡的獨立地址空間及名稱空間。〔3遠程訪問模擬/數字號碼和VPN訪問點。〔4外聯網與合作伙伴及子公司的網絡的連接地址、連接類型及訪問控制機制。〔5開放資源未在前4類中列出的信息,例如Usenet、雇員配置文件等。2.掃描通過踩點已獲得一定信息〔IP地址范圍、DNS服務器地址、郵件服務器地址等,下一步需要確定目標網絡范圍內哪些系統是"活動"的,以及它們提供哪些服務。與盜竊案之前的踩點相比,掃描就像是辨別建筑物的位置并觀察它們有哪些門窗。掃描的主要目的是使攻擊者對攻擊的目標系統所提供的各種服務進行評估,以便集中精力在最有希望的途徑上發動攻擊。掃描中采用的主要技術有Ping掃射〔PingSweep、TCP/UDP端口掃描、操作系統檢測以及旗標〔banner的獲取。3.查點通過掃描,入侵者掌握了目標系統所使用的操作系統,下一步工作是查點。查點就是搜索特定系統上用戶和用戶組名、路由表、SNMP信息、共享資源、服務程序及旗標等信息。查點所采用的技術依操作系統而定。在Windows系統上主要采用的技術有"查點NetBIOS"線路、空會話〔NullSession、SNMP代理、活動目錄〔ActiveDirectory等。4.獲取訪問權在搜集到目標系統的足夠信息后,下一步要完成的工作自然是得到目標系統的訪問權進而完成對目標系統的入侵。對于Windows系統采用的主要技術有NetBIOS擬SMB密碼猜測〔包括手工及字典猜測、竊聽LM及NTLM認證散列、攻擊IISWeb服務器及遠程緩沖區溢出。而UNIX系統采用的主要技術有蠻力密碼攻擊；密碼竊聽；通過向某個活動的服務發送精心構造的數據,以產生攻擊者所希望的結果的數據驅動式攻擊<例如緩沖區溢出、輸入驗證、字典攻擊等>；RPC攻擊；NFS攻擊以及針對X-Windows系統的攻擊等。5.權限提升一旦攻擊者通過前面4步獲得了系統上任意普通用戶的訪問權限后,攻擊者就會試圖將普通用戶權限提升至超級用戶權限,以便完成對系統的完全控制。這種從一個較低權限開始,通過各種攻擊手段得到較高權限的過程稱為權限提升。權限提升所采取的技術主要有通過得到的密碼文件,利用現有工具軟件,破解系統上其他用戶名及口令；利用不同操作系統及服務的漏洞〔例如Windows2000NetDDE漏洞,利用管理員不正確的系統配置等。6.竊取一旦攻擊者得到了系統的完全控制權,接下來將完成的工作是竊取,即進行一些敏感數據的篡改、添加、刪除及復制〔例如Windows系統的注冊表、UNIX系統的rhost文件等。通過對敏感數據的分析,為進一步攻擊應用系統做準備。7.掩蓋蹤跡黑客并非踏雪無痕,一旦黑客入侵系統,必然留下痕跡。此時,黑客需要做的首要工作就是清除所有入侵痕跡,避免自己被檢測出來,以便能夠隨時返回被入侵系統繼續干壞事或作為入侵其他系統的中繼跳板。掩蓋蹤跡的主要工作有禁止系統審計、清空事件日志、隱藏作案工具及使用人們稱為rootkit的工具組替換那些常用的操作系統命令。常用的清除日志工具有zap、wzap、wted。8.創建后門黑客的最后一招便是在受害系統上創建一些后門及陷阱,以便入侵者一時興起時,卷土重來,并能以特權用戶的身份控制整個系統。創建后門的主要方法有創建具有特權用戶權限的虛假用戶賬號、安裝批處理、安裝遠程控制工具、使用木馬程序替換系統程序、安裝監控機制及感染啟動文件等。9.拒絕服務攻擊如果黑客未能成功地完成第四步的獲取訪問權,那么他們所能采取的最惡毒的手段便是進行拒絕服務攻擊。即使用精心準備好的漏洞代碼攻擊系統使目標服務器資源耗盡或資源過載,以至于沒有能力再向外提供服務。攻擊所采用的技術主要是利用協議漏洞及不同系統實現的漏洞。〔三黑客入侵技術目前,在實施網絡攻擊中,黑客所使用的入侵技術主要包括以下六種：1.協議漏洞滲透網絡中包含著種類繁多但層次清晰的網絡協議規范。這些協議規范是網絡運行的基本準則,也是構建在其上的各種應用和服務的運行基礎。但對于底層的網絡協議來說,對于安全的考慮有著先天的不足,部分網絡協議具有嚴重的安全漏洞。通過對網絡標準協議的分析,黑客可以從中總結出針對協議的攻擊過程,利用協議的漏洞實現對目標網絡的攻擊。2.密碼分析還原密碼分析還原技術主要分為密碼還原技術和密碼猜測技術。對于網絡上通用的標準加密算法來說,攻擊這類具有很高強度加密算法的手段通常是使用后一種技術。在進行攻擊的時候,密碼分析還原所針對的對象主要是通過其他偵聽手段獲取到的認證數據信息,包括系統存儲認證信息的文件或利用連接偵聽手段獲取的用戶登錄的通信信息數據。3.應用漏洞分析與滲透任何應用程序都不可避免地存在著一些邏輯漏洞,操作系統也不例外,幾乎每天都有人宣布發現了某個操作系統的安全漏洞。而這些安全漏洞也就成為了入侵者的攻擊對象。通過對這些安全漏洞的分析,確認漏洞的引發方式以及引發后對系統造成的影響,攻擊者可以使用合適的攻擊程序引發漏洞的啟動,破壞整個服務系統的運行過程,進而滲透到服務系統中,造成目標網絡的損失。4.社會工程學社會工程學與黑客使用的其他技術具有很大的差別,它所研究的對象不是嚴謹的計算機技術,而是目標網絡的人員。社會工程學主要是利用說服或欺騙的方法來獲得對信息系統的訪問。這種說服和欺騙通常是通過和人交流或其他互動方式實現的。5.拒絕服務攻擊拒絕服務攻擊最主要的目的是造成被攻擊服務器資源耗盡或系統崩潰而無法提供服務。這樣的入侵對于服務器來說可能并不會造成損害,但可以造成人們對被攻擊服務器所提供服務的信任度下降,影響公司的聲譽以及用戶對網絡服務的使用。這類攻擊主要還是利用網絡協議的一些薄弱環節,通過發送大量無效請求數據包造成服務器進程無法短期釋放,大量積累耗盡系統資源,使得服務器無法對正常的請求進行響應,造成服務的癱瘓。6.病毒或后門攻擊計算機病毒檢測與網絡入侵防御在計算機與網絡技術不斷發展的促進下,出現了需要共同防御的敵人。現在的病毒不僅僅只是通過磁盤才能傳播,為了適應網絡日益普及的形式,病毒也在自身的傳播方式中加入了網絡這個可能會造成更大危害的傳播媒介。為了能夠在網絡上傳播,病毒也越來越多地繼承了網絡入侵的一些特性,成為一種自動化的軟體網絡入侵者。它們利用網絡入侵技術,通過網絡進行廣泛的傳播滲透,紅色代碼病毒就屬此類。它們利用網絡入侵的方式,侵入計算機并利用被感染計算機,對周圍的計算機進行入侵掃描以進一步傳播感染其他的計算機。三、黑客攻擊網上銀行的常用手段〔一盜號木馬1.虛假網站和服務器攻擊黑客首先建立一個酷似網上銀行官方網站的虛假網頁,該網頁誘騙用戶輸入帳號密碼等信息,或者包含用于種植木馬的惡意腳本。然后給假網頁申請一個酷似官方網址的域名,等待用戶由于拼寫錯誤而連接進來；有時黑客也會花幾十元購買一個包含幾百萬郵箱地址的數據庫,然后向這些郵箱發送"釣魚"郵件。郵件內容通常包含煞有其事的文字,引誘用戶訪問假網頁。無論哪種欺騙方式,一旦用戶上當受騙,他們的隱私數據都會被發送到黑客那里。2.鍵盤記錄記錄用戶的鍵盤輸入是網上銀行木馬最常用的手段之一。這類木馬一般會監視用戶正在操作的窗口,如果發現用戶正在訪問某網上銀行系統的登錄頁面,就開始記錄所有從鍵盤輸入的內容。這種方法很通用也很簡單,用于獲取網上銀行帳號密碼時,效果一直很好。20XX11月的"網銀大盜Ⅱ"木馬,是一個典型的例子,它把幾乎所有的國內網上銀行系統都列為盜竊的目標。在測試中,只有少數提供虛擬鍵盤技術的登錄系統可以避開它。3.嵌入瀏覽器執行多數網上銀行交易都是通過網頁瀏覽器完成的,嵌入瀏覽器進程中的惡意代碼能夠獲取用戶當前訪問的頁面地址和頁面內容,還能夠在用戶數據以SSL安全加密方式發送出去之前獲取它們。利用這種技術的木馬,通常會動態改變用戶正在瀏覽的頁面內容,比如增加一段用以獲得帳號和密碼然后發送出去的網頁腳本,或者讓瀏覽器自動打開另外一個惡意的網頁。使用網頁腳本制作的虛擬鍵盤,在對付這類木馬時會完全失效。"網銀大盜"木馬就利用了這種技術,它監測到用戶正在訪問某個引用了安全登錄控件的地址時,就會讓瀏覽器自動跳轉到另外一個網頁。后者看上去和正常登錄頁面沒什么兩樣,只是沒有任何安全登錄控件的保護。對于那些只對交易對話進行驗證,而沒有對交易過程進行驗證的系統,嵌入瀏覽器的惡意代碼甚至可以完全控制一次交易。這樣的交易系統只對用戶身份進行驗證,而在用戶身份確定之后無條件的執行任何來自用戶的指令。木馬可以等到用戶驗證通過后再開始工作,攔截用戶的轉賬操作,篡改數據后發送給服務器,服務器沒有辦法區分給它發出轉賬指令的是用戶還是木馬,直接執行了轉賬,木馬再把服務器返回的信息篡改后顯示給用戶。目前,這種技術只在國外的一些網上銀行木馬上看到,國內尚未發現這樣的例子。4.屏幕"錄像"有些網上銀行木馬的確會進行"錄像",它們并不會生成體積龐大的視頻文件,而只是在鍵盤記錄的基礎上,額外記錄了用戶點擊鼠標時的鼠標坐標,以及當時的屏幕截圖。黑客根據這些數據,可以完全回放出用戶在進行交易時敲擊了哪些鍵、點擊了哪些按鈕、看到了什么結果。5.竊取數字文件數字證書是網上銀行交易的一項重要安全保護措施。有些系統允許用戶把證書保存成硬盤文件,然而這是一個安全隱患。20XX9月,TrojanSpy.Banker.s和TrojanSpy.Banker.t的作者仔細觀察了某個人銀行系統保存證書的整個流程后,編寫了木馬,他的程序能夠準確識別這個流程的每個步驟,自動記錄必要的數據,最終再復制一份證書文件。木馬作者利用盜取的證書和其他必要信息達到非法使用證書的最終目的。6.偽裝窗口20XX,國內出現了一系列新的網銀木馬,它們都是TrojanSpy.Banker.yy的變種,感染了很多用戶。這類木馬首先向IE瀏覽器注入一個DLL,用以監視當前網頁的網址,同時記錄鍵盤。當發現用戶輸入了卡號、密碼并進行提交以后,迅速隱藏瀏覽器,彈出自己的窗口。木馬彈出的窗口看上去和在線理財的頁面非常相似,并且包含一些"釣魚"文字：稱由于系統維護需要,用戶必須重新輸入密碼。只有當用戶再次輸入的密碼和最初登錄時的密碼吻合時,木馬才會把密碼發送給木馬作者。〔二釣魚網站網上銀行釣魚網站主要是申請一個與真實網上銀行網站相似的域名,比如1cbc<注意這里是1不是i>此域名將鏈接到黑客偽造的網上銀行頁面,不明真相的用戶訪問該偽裝網站很容易就泄露了自己網上銀行的賬號密碼。〔三公共無線網絡陷阱在通過公共免費無線網絡分享好吃的、好玩的、好看的同時,也可能將自己的個人信息"分享"出去。不少網友因使用公共無線網絡出現過信用卡被盜刷的情況,更有黑客宣稱15分鐘便可以盜取咖啡客銀行賬號和密碼。交通銀行信用卡中心專家表示,目前幾乎任何人都可以設置熱點。攻擊電腦最簡單的方法之一,就是假裝成一個熱點,等待別人來鏈接。因此,在公共網絡可刷微博、玩微信、打游戲,但切莫使用公共網絡進行網上支付、轉賬、還款等交易,防止不法分子盜取信息。在手機和電腦上操作網上銀行時,盡量使用銀行官網提供的客戶端,而非網頁版,這樣可以降低登錄釣魚網站的風險。四、防范黑客攻擊網上銀行的幾點建議〔一、加強網上銀行用戶的安全意識雖然用戶的安全意識無法抵御精心制作的木馬,但它在網上銀行木馬防范工作中仍是非常重要的因素。定期檢查安裝微軟安全更新程序、每天升級反病毒軟件的病毒庫、不要輕信不明郵件里面的內容、不要隨意在不明網頁上提交自己的網上銀行帳號密碼、給自己計算機的管理員帳號設置一個不太容易猜出來的密碼,這些聽起來很簡單也很基本的措施,能夠避免感染絕大多數的網上銀行木馬。但實際情況告訴我們,目前國內大多數用戶仍然沒有做到這些。加強對用戶進行網上銀行交易安全意識的宣傳,是金融業、網絡安全業和媒體共同的責任。〔二、加強網上銀行交易的安全性自網上銀行交易以來,網上銀行交