“傀儡”让电脑变成傀儡
网银卡成了人家的提款机
去年7月13日,侯先生发现自己的网上银行卡内只剩下6元钱了,万元不知去向。他立即到银行查询,发现自己的网银卡内的钱在一天内,分别以7次被人转账,总计金额达到10600元。
侯先生奇怪:自己明明没有消费,谁把钱取走了?卡在手里,怎么取走的?
发生类似情形的,还有两位网银使用者。陆先生在去年7月1日发现自己的农业银行网银卡内少了14100元。一个月后,盛先生的建设银行网银卡里少了近3万元。
很快,这一谜团慢慢展开。原来幕后有“傀儡”作怪。
“傀儡”是被告人关晓宇的网名,和他一起盗用的还有5人,但这个6人团队,直到归案才相互谋面,之前都是“网上之交”。
曾经的网络安全专家
他的软件窥视你的网银信息
昨天,西湖法庭,6名被告人站成一排,他们都是网络高手。其中的第五被告雷涛更是一流大学毕业的硕士,曾在微软就职,现在在趋势科技(中国)网络有限公司从事网络安全工作。他的女朋友、第六被告封潇,大学本科毕业。两人一个负责开发,一个负责联系。
正是这个网络安全的维护者,雷涛,如今破坏了网络安全不说,还成了协助盗窃的罪人。去年他在blog上发帖,说他可以辅助开发软件。不久,有人找上门了。女朋友封潇长期QQ在线,成了联系人。找上门的就是“傀儡”,他要求雷涛制作一个软件,此软件可以看到别人网银上的信息。
他们的手法看似复杂。雷涛开发的软件类似木马,它可以截取被感染电脑上的信息。“傀儡”和他的同伙购买了这个软件之后,把它和其他程序和文件捆绑在一起,发布到网上,供人下载。表面上,这些软件是图片或者正常程序,有点“姜太公钓鱼”的意思。
这时就等“愿者上钩”。操作者只要一不小心点击了那些被捆绑的图片或程序,雷涛的软件程序也跟着运行了。可是此时,作为一般的操作者,根本无法发现有一个程序正悄无声息地盗取他电脑上的信息。
那些被盗用的信息随后自动被发送到设计好的ftp空间上,通过登录名、密码,再经过对盗用信息的破译,被害人的网银信息一览无遗。
3名被害人总计5万多元,都是通过这种方式被盗取。本案当庭未判。
被盗的都是没有使用U盾的
网上银行已经广泛地被人们使用,它的方便、快捷一度让人倾心。网银的安全性已成为个人和企业消费者最为关心的问题,也成为网上银行发展的主要瓶颈。
但雷涛的一番话还是让人心里踏实了点:“至少我制作出的软件,现如今无法盗取网银账号和密码。很多银行都采用U盾和K盾,这些技术很完善,就我的技术而言,即使光知道网上银行的账号和密码,也无法实施盗窃。”
中信银行杭州分行的网银安全专家说,在推出网上银行后,他们银行就配套推出了“USBkey”,它的功能类似于一些银行的U盾和K盾,像平时使用的USB插口(U盘),主要是将客户的网银信息存在里面,待要使用时将它插入电脑即可。
“网上银行都有认证书,是为了保护交易安全。一般的认证书都是软证书,也就是文件证书,而USBkey相当于是一个硬证书,也叫移动证书。”中信银行的网银安全专家详细介绍了这两类证书的区别,“文件证书是把个人信息放在了网页上,关机以后,别人可以通过木马等程序侵入窃取;而移动证书只能读取,不能拷贝,相当于写保护,所以很难侵入。”
目前杭州包括工行、中信银行等在内的多家银行已经向客户推荐采用移动证书,客户可以购买,如果再到银行开通一个银行卡余额变动短信通知的业务,每笔金额的变动都通过短信通知客户。网银大盗即使获取了你的网银信息,只要没有偷得你的移动证书(即U盾K盾)等,你的网银资金就不可能被盗走。
目前使用U盾的网银很安全
但也要记得用后即拔
很多小偷固然掌握了专业技术,但“姜太公”一招也引上可是“愿者”。连雷涛自己也承认,现有的技术还很难攻破现在网银防护。
在使用网银时怎样防小偷?中信银行网银安全专家给我们支招:“首先,客户的电脑最好要设置防火墙;其次,上网时要注意,不要浏览不健康网页;再次,最好每次交易都使用自己的电脑,最好不选择在网吧等公共场所的机器上使用网银;最重要的是,使用完了USBkey之后一定记得拔掉,千万别一直插着上网。”
这位安全专家最后还表示,网上银行的推出,需要技术方面的不断完善,同时也需要客户的积极配合。良好的使用习惯是网银安全不可或缺的保证,要从平时的细节做起。本案中侯先生的被盗经过值得一提。这些网银大盗在得知他的农行卡的交易信息之后,转而了解到了他在另外一家银行的网银卡的卡号,糟糕的是,侯先生两张网银卡的密码竟然是一样的,网银大盗不费吹灰之力就试了出来,轻松盗走了另外一张网银卡里的1万多元。所以人们在拥有多张网银卡时,最好能设置不同的密码,虽然有点麻烦,但可以防止小偷一箭“多”雕。客户们最好定期能查看交易明细,下载并安装客户端安全控件。在每次使用网上银行后,点击“退出登录”结束使用。同时要为电脑安装防病毒软件并定期升级。
