科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网安全频道网络安全浅析黑客究竟怎样从银行获得非法利益

浅析黑客究竟怎样从银行获得非法利益

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

近期看到一篇名为《19岁少年狂赚上千万》的文章,主要内容是讲述一个国内学生通过银行卡赚取了上千万人民币的真实故事。由于家境贫穷,负担不起高额的大学学费,而选择一所职业中专求学。他在一次取钱的时候,发现我们手中的银行卡都是连号的,于是产生一些想法,经过猜解密码,他竟然“成功”的赚取了上千万人民币。但因违反法律,最终还是落了一个入狱17年的下场。

来源:CCW 2010年1月12日

关键字: 入侵 网络攻击 黑客

  • 评论
  • 分享微博
  • 分享邮件

  近期看到一篇名为《19岁少年狂赚上千万》的文章,主要内容是讲述一个国内学生通过银行卡赚取了上千万人民币的真实故事。由于家境贫穷,负担不起高额的大学学费,而选择一所职业中专求学。他在一次取钱的时候,发现我们手中的银行卡都是连号的,于是产生一些想法,经过猜解密码,他竟然“成功”的赚取了上千万人民币。但因违反法律,最终还是落了一个入狱17年的下场。

  也许很多人都在问,黑客究竟怎样从银行获得非法利益的,下面我就简单分析一下:

  第一步:获取银行卡号和用户信息

  内行看门道,外行看热闹,这话一点不假。通常人们想到要获取他人的银行卡号,都会认为那是非常难的事情,其实这是整个过程中最简单的一步,只需要自己办理一张相关银行卡,只需要在最后一位进行相加(卡号都是相连的),就可以得到轻松得到卡号。还有一种情况就是通过银行小票来获取卡号,多数人取完款或划卡消费后,都是把小票随手扔在垃圾筒里面,有些贼人就是靠那些小票,取得你银行卡号,回去专门复制银行卡号,来达到消费刷卡的非法目的。其实制作一张银行卡成本不会超过3元。

  有了卡号,就需要破解密码,但这之前首先要获得用户的个人信息,这是非常有用的。那么黑客又是如何获得个人的详细信息呢?这其实也很简单,就是利用搜索引擎来搜信息,当然在淘宝之类的交易平台上收获最大,信息也最全。还有一类就是利用木马和病毒捕获的信息等手段来获取用户信息,灰鸽子就属于这类的。

  其实用户银行帐号和信息被盗取从某方面来说,银行有不可推卸的责任。看看那些ATM取款机的房间,保安每天都如同和尚撞钟一样的工作着,真的担当了保安的职责么?多数只会拿着那狼牙棒子四处转悠,问他个事情还爱搭不理的,不是趴在桌子上睡觉就是望着门外,不知道是在想事,还是在欣赏过街的美女。再来看看天花板上面安装的摄象头,真正能“高清晰”拍摄到完整的画面么?真的就不存在死角么?而且24小时开放的ATM银行间内,经常会发生机器被破坏等现象。这些问题的存在都是银行方面的责任。

  第二步:破解网银帐号和密码

  在取得了银行卡号和用户信息后,接下来要做的就是破解密码了,这也是整个过程中最重要和最艰难的一步。我们先看看网银密码的窃取。网络银行固然方便,但是也存在着很大的隐患。其实很多网络银行都没有锁定输入信息的错误记录,只需要刷新重新登陆,一个id可以重复登陆,而且没有ip限制,只是在后台运行一套加密破解算法,根据搜索引擎和淘宝上搜到的个人信息来猜密码,重复尝试,直到成功。有些技术功底的就直接写程序,让计算机帮他猜,实在不行就换另外的储户,毕竟还有上亿的储户在使用,不用担心资源不够用。使用过网络银行的人都知道,我们一般都是先登陆该银行的主页,然后把自己的银行帐号填写进入,输入取款密码就可以完成该交易,这个看似很顺利成章的事情。但对于我们喜欢研究网络安全的人来说,它采用的验证机制是存在很大安全隐患的,连续地在ID和密码栏中输入随机数字,如果能够登录,就说明这个数字是正确的密码。在网络银行中,企图非法窃取密码的作案者如果采用可以改变登录ID的方法,即便登录失败,网站也不会将密码视为无效。

  除了用软件窃取网银密码以外,“冒充站点”也是网上银行使用中一个非常重要的安全隐患。 比如,可以首先向客户发送一个“本行网站正在进行促销活动!”等内容的虚假邮件,然后诱骗客户访问虚假站点。客户在不了解情况时就会向虚假站点发送ID和密码。客户发送完毕后,如果显示出一个“服务马上就要停止”的画面,或者把客户访问重新引导到正规站点上,客户当时是很难察觉的。这样一来,就存在有人进行非法资金转移的可能性。 这样的网点行话称之为“网络钓鱼”

  而对于普通银行卡来说,获取密码就简单得多了。我们知道每次取现金的时候都要用到小键盘输入密码,而密码的位数也无非是0-9,获得密码的概率大致在10的6次方之一,对于一个双核的3.4G的计算机来说,只要几分钟就能搞定。更简单的方法还是有的,我们是用手指输入密码的,在ATM机上肯定会留下指纹,如果有人专门做了一些手脚的话,也应该能清晰的知道您刚才使用过的密码。但有个小问题,就是银行为了保护储户安全,设定了输入3次错误密码就自动吞卡的机制,这时自己复制的银行卡就有用武之地了。当然,被ATM机吞了卡后,黑客通常会换地方继续尝试破解,否则见光的可能性会更高。即使在柜台上,你也能轻松的要回银行卡,但通常凡是有点头脑的“贼”都不会这么做的,那样无疑是给自己增加入狱的可能。

  中国有句古话:铁杵磨成针,只要有时间和耐心,让黑客惦记上,准跑不了。也许有人会怀疑,这么简单就能破解密码,那谁都能做黑客了。答案就是这么简单,其实你会扪心自问一下,自己的银行密码很复杂么?我想大多数人的银行密码都非常简单。我曾经专门拿身边的朋友,亲戚,同学等人做了测试,得到了以下的结论:一些储户为了好记密码,取款密码使用自己的生日号码,还有更多的人还是喜欢把家中电话号码做为密码,最有意思的是有人居然把取款密码设定为了123456,我问他为什么,人家说了,别人都把密码设定的特复杂,我反倒要简单,越危险的地方就是最安全的地方。呵呵,这位仁兄的理解,实在是搞笑。对于那些设定为123456的人来说,你的密码就更可说是形同虚设,真不知道当初银行为什么要把我们的取款密码设定为6位。这也从另一方面说明了黑客为什么会轻松的破解密码。

  通过ATM来破解密码,银行也要负责。如果我们忘记取卡了,很少有机器发出提示警告或者发出报警声响,在今天压力较大的社会,我想到了李宁专卖店上醒目的台词:一切都有可能,所以忘记拔卡也不是不可能出现的。

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章