第一步:獲取銀行卡號和用戶信息
內行看門道,外行看熱鬧,這話一點不假。通常人們想到要獲取他人的銀行卡號,都會認為那是非常難的事情,其實這是整個過程中最簡單的一步,只需要自己辦理一張相關銀行卡,只需要在最后一位進行相加(卡號都是相連的),就可以得到輕松得到卡號。還有一種情況就是通過銀行小票來獲取卡號,多數人取完款或劃卡消費后,都是把小票隨手扔在垃圾筒里面,有些賊人就是靠那些小票,取得你銀行卡號,回去專門復制銀行卡號,來達到消費刷卡的非法目的。其實制作一張銀行卡成本不會超過3元。
有了卡號,就需要破解密碼,但這之前首先要獲得用戶的個人信息,這是非常有用的。那么黑客又是如何獲得個人的詳細信息呢?這其實也很簡單,就是利用搜索引擎來搜信息,當然在淘寶之類的交易平臺上收獲最大,信息也最全。還有一類就是利用木馬和病毒捕獲的信息等手段來獲取用戶信息,灰鴿子就屬于這類的。
其實用戶銀行帳號和信息被盜取從某方面來說,銀行有不可推卸的責任。看看那些ATM取款機的房間,保安每天都如同和尚撞鐘一樣的工作著,真的擔當了保安的職責么?多數只會拿著那狼牙棒子四處轉悠,問他個事情還愛搭不理的,不是趴在桌子上睡覺就是望著門外,不知道是在想事,還是在欣賞過街的美女。再來看看天花板上面安裝的攝象頭,真正能“高清晰”拍攝到完整的畫面么?真的就不存在死角么?而且24小時開放的ATM銀行間內,經常會發生機器被破壞等現象。這些問題的存在都是銀行方面的責任。
第二步:破解網銀帳號和密碼
在取得了銀行卡號和用戶信息后,接下來要做的就是破解密碼了,這也是整個過程中最重要和最艱難的一步。我們先看看網銀密碼的竊取。網絡銀行固然方便,但是也存在著很大的隱患。其實很多網絡銀行都沒有鎖定輸入信息的錯誤記錄,只需要刷新重新登陸,一個id可以重復登陸,而且沒有ip限制,只是在后臺運行一套加密破解算法,根據搜索引擎和淘寶上搜到的個人信息來猜密碼,重復嘗試,直到成功。有些技術功底的就直接寫程序,讓計算機幫他猜,實在不行就換另外的儲戶,畢竟還有上億的儲戶在使用,不用擔心資源不夠用。使用過網絡銀行的人都知道,我們一般都是先登陸該銀行的主頁,然后把自己的銀行帳號填寫進入,輸入取款密碼就可以完成該交易,這個看似很順利成章的事情。
但對于我們喜歡研究網絡安全的人來說,它采用的驗證機制是存在很大安全隱患的,連續地在ID和密碼欄中輸入隨機數字,如果能夠登錄,就說明這個數字是正確的密碼。在網絡銀行中,企圖非法竊取密碼的作案者如果采用可以改變登錄ID的方法,即便登錄失敗,網站也不會將密碼視為無效。
除了用軟件竊取網銀密碼以外,“冒充站點”也是網上銀行使用中一個非常重要的安全隱患。比如,可以首先向客戶發送一個“本行網站正在進行促銷活動!”等內容的虛假郵件,然后誘騙客戶訪問虛假站點。客戶在不了解情況時就會向虛假站點發送ID和密碼。客戶發送完畢后,如果顯示出一個“服務馬上就要停止”的畫面,或者把客戶訪問重新引導到正規站點上,客戶當時是很難察覺的。
這樣一來,就存在有人進行非法資金轉移的可能性。這樣的網點行話稱之為“網絡釣魚”而對于普通銀行卡來說,獲取密碼就簡單得多了。我們知道每次取現金的時候都要用到小鍵盤輸入密碼,而密碼的位數也無非是0-9,獲得密碼的概率大致在10的6次方之一,對于一個雙核的3.4G的計算機來說,只要幾分鐘就能搞定。更簡單的方法還是有的,我們是用手指輸入密碼的,在ATM機上肯定會留下指紋,如果有人專門做了一些手腳的話,也應該能清晰的知道您剛才使用過的密碼。但有個小問題,就是銀行為了保護儲戶安全,設定了輸入3次錯誤密碼就自動吞卡的機制,這時自己復制的銀行卡就有用武之地了。當然,被ATM機吞了卡后,黑客通常會換地方繼續嘗試破解,否則見光的可能性會更高。即使在柜臺上,你也能輕松的要回銀行卡,但通常凡是有點頭腦的“賊”都不會這么做的,那樣無疑是給自己增加入獄的可能。
中國有句古話:鐵杵磨成針,只要有時間和耐心,讓黑客惦記上,準跑不了。也許有人會懷疑,這么簡單就能破解密碼,那誰都能做黑客了。答案就是這么簡單,其實你會捫心自問一下,自己的銀行密碼很復雜么?我想大多數人的銀行密碼都非常簡單。我曾經專門拿身邊的朋友,親戚,同學等人做了測試,得到了以下的結論:一些儲戶為了好記密碼,取款密碼使用自己的生日號碼,還有更多的人還是喜歡把家中電話號碼做為密碼,最有意思的是有人居然把取款密碼設定為了123456,我問他為什么,人家說了,別人都把密碼設定的特復雜,我反倒要簡單,越危險的地方就是最安全的地方。呵呵,這位仁兄的理解,實在是搞笑。對于那些設定為123456的人來說,你的密碼就更可說是形同虛設,真不知道當初銀行為什么要把我們的取款密碼設定為6位。這也從另一方面說明了黑客為什么會輕松的破解密碼。
通過ATM來破解密碼,銀行也要負責。如果我們忘記取卡了,很少有機器發出提示警告或者發出報警聲響,在今天壓力較大的社會,我想到了李
寧專賣店上醒目的臺詞:一切都有可能,所以忘記拔卡也不是不可能出現的。
入侵銀行數據庫的大牛
到這里大功基本告成。剩下的事就是考慮如何花掉這些非法所得的金錢了。上面介紹的都是一些常規手段,還有一非常規手段,就需要有真正的黑客技術了,曾經有大牛拿假身份證去辦卡,然后入侵某銀行的數據庫,給自己開了剛辦的這張卡里存了一元錢,第二天,在ATM機上則如假包換的有了11元錢。這就證明了網絡世界里沒有絕對安全的理論。
為了更加形象的說明常規手段,下面是一段情景再現:
他,穿黑色套頭的運動上衣,頭戴白色網球帽,使用一張銀行卡,在人較少的時間段進入ATM操作間,把卡放入入卡口那里,然后把取款機上的探頭利用口香糖或雙面膠封存,利用液體口香糖噴灑在輸入鍵盤之上,因為是背對銀行的攝象頭,所以操作的時候是無法捕獲到的,然后熟練的取卡,注意這里,他帶著手套,不會破壞掉原本設立好的陷阱。然后在旁邊機器上以查詢服務為掩護,等待魚兒上鉤。在受害人插入銀行卡后,輸入密碼的時候,取錢完畢后,他便利用得到的取款小票(多數人都是取完款,把小票隨手扔在垃圾筒里面)來仿制出跟你相似的銀行卡,根據你在鍵盤上的指紋,來記錄你的取款密碼……剩下的事,大家就都知道了。
作為用戶我們應該怎樣避免這些被盜竊事件的發生?
1、網銀用戶輸入密碼的時候采用叉分圖標法,利用鼠標不斷切換光標來輸入密碼,以防止被hook跟蹤,一個星期更換一次個人密碼,采用手動
記錄。
2、不要太相信計算機,把密碼本放在別人不容易找到和看到的地方,不再使用生日做為密碼,電話號碼。手機,名字大小寫來設立網銀密碼。
3、勤打系統補丁,升級殺毒軟件,一旦發現網銀損失,立即報案,讓公安協助追查,不要想著散財得福,貽誤捕獲銀行黑客的最佳時機。
