“浮云”木马轻易攻破20家银行网银系统

本帖最後由 homeinns 於 2013-3-13 16:07 編輯

只不过向支付宝充值了2000余元，网银上的3万元却不翼而飞，家住江苏省徐州市的XXXXX不幸成为一种新型木马病毒的百名受害者之一。

http://www.legaldaily.com.cn/ind ... 3023.htm?node=33768

http://www.takungpao.com.hk/sy/2012-10/17/content_1239667.htm

打開「熱心網友」發來的一個軟件包，網上銀行賬戶內的現金竟然不翼而飛……

http://news.xinhuanet.com/tech/2012-10/16/c_113380155.htm

侦破此案的网警惊叹，目前国内外尚无这种技术的木马程序，“这小伙子是个天才，可惜用错了地方”。

偉哉中華，誰說中國沒有人才，只可惜 ..................
只要在 $$$$ 的驅動下，中國簡直是人才輩出， ........... 因爲真是窮得太久啦，現在改革開放後才 ............

香港那些電腦毒男，連這是 “木馬” 是什麽鬼東西也不知道 ........

這個故事教訓我們，網絡銀行還是安全的（因爲有一個獨一無二的 Random Number Generator Key 和獨一無二的 Digital Certificate 認證，應該還是絕對安全的）。

現在這網上犯罪，主要問題是出在淘寳網購物，在支付寳充值的過程中發生的 “狸貓換太子”玩意兒。
並不是網上銀行出現問題哦（與銀行絕對沒有任何的關係），
報道的頭條有一些誤導公衆之嫌。

在淘寳網上購物，在支付寳充值，通常都是  Low-Value-Purchase, 絕對不會在支付寳上充值幾万塊錢的。

因爲 TIC （This is China），我在國内也步步爲營。
我發工資用的互聯網銀行戶口，有獨一無二的 Random Number Generator Key 和獨一無二的 Digital Certificate 認證，應該還是絕對安全的 + 私人記憶中的密碼。除非同時掉失了 Random Number Generator Key 和同時盜取到我腦袋中的  “密碼”。

我的支付寳賬號通常只有很零碎的幾毛錢而已，在淘寳網上購物通常都是 Low Value Purchase （少於幾百元 Maximum），而且購物後才去支付寳充值，購物多少，就充值多少（沒有任何剩餘的錢留在支付寳的賬號上）

如果這些 “木馬的賊” 把我支付寳的充值幾百塊錢 Divert 去那些網上遊戲金幣的戶口，我的淘寳購買就不能成功，因此我馬上會知道的，最大的損失纔是這幾百塊錢 Maximum，絕對沒有可能掏空我發工資的互聯網的銀行戶口，報紙的頭條純粹是誤導公衆，引起公衆恐慌而已。

各位對上面的  報紙報道的 “誤導” 有什麽意見呢？？

你們在互聯網銀行上的 $$$$ 會不會被人家用  “木馬” 去掏空呢？？？？

雯雯

新手上路

Rank: 1

2^#

發表於 2013-3-13 16:38 | 只看該作者

回復 1# homeinns

我之前試過支付寶被盜了幾百元, 原因是當時開了餘額支付功能, 自此之後我每次要用的時候才透過手機動態密碼才開啟此功能. 其實建議專門用1個網銀戶口給網購用, 不用存太多錢入去. 不過對我來說比較難, 因為有時候要幫公司採購.

Welcome to my TaoBao shop: http://mandymak520.taobao.com/

TOP

角色

註冊會員

Rank: 2

3^#

發表於 2013-3-13 21:34 | 只看該作者

我用深圳工行网银,用USB key做确认｡

TOP

homeinns

新手上路

Rank: 1

4^#

發表於 2013-3-14 15:22 | 只看該作者

本帖最後由 homeinns 於 2013-3-14 15:38 編輯

不用存太多錢入去:- 鋪鋪清就是最穩妥，我的支付寳賬戶裏只有幾塊錢的零錢而已。
看來，最危險的網上交易環節還是從網銀 Transfer Fund 去支付寳網頁的一刹那 (因爲中間跳出來的支付寳網頁有可能是假扮的）：- 就是這個案件的核心原因。  （通常支付寳的 Fund Transfer 都是 Low-Value Purchase，就是發覺被假扮的網頁騙去 100 幾十塊錢，也不會去報警，也就是這個原因，積少成多，幾千個網民受騙，加起來就有 100幾十萬元）。技術的用語是  Man-In-the-Middle-Attach。
我深信，網上銀行，和支付寳（阿里巴巴公司）應該是絕對安全的，
問題就出在 Interface 的地方。（3不管的地帶嗎）

用USB key做确认｡：- 這就是個人的 Certificate （獨一無二的 Private Key），只要你不遺失這一條 Private Key，網絡銀行就可以認定擁有這 Private Key （Certificate）的人就是真正的銀行賬號擁有人。（再加上這 USB 的密碼，和存放在你腦袋瓜兒的個人密碼），應該是絕對安全的。  （因爲只要你不遺失這一條獨一無二的 Private Key，賊人是沒有辦法去 Duplicate 你這一條 Private Key，因爲 Key 永遠都在我的手上（沒有遺失），是沒有辦法去複製這一條 Key （Certificate）的。

也就是這一件網上犯罪的事件，我向 Wekipedia 老師，請教了 Digital 加密的原理。
Private Key  &  Public Key （是一對孿生兄弟），用這些 Key Pair 進行 Digital 加密和 Authentication，基本上，網上銀行的商業交易還是絕對安全的。（加上商業級別的 IPSec 或 SSL VPN 高度加密的 Tunnel），基本上是絕對安全的。（我們用來破網翻墻的 PPTP VPN 用來看看水果人報，聼聼狂貓，瘋牛，長髮， 19才子的反動廣播就可以，用來做網上銀行的加密就太危險啦）

強列建議網友們，因應這一起的網上付款的犯罪案件，去看一看 Wekipedia 對 Private Key  &  Public Key Encryption 的最基本理論。
原來 cryptography 是一個非常大的學問。（你們看，還是看英語的科技文獻比較容易理解）

在 MicroSoft Office 2010 的版本裏面，已經加入 Digital Signature 這個功能，看來，我們每一天在日常工作中的電子文件， docx,  xlsx,  pptx, pdf,  dwg .......尤其是一些有法律約束性的文件，都要加上 Digital Signature （Private Key Encryption），或者好像一些國内的老翻軟件一樣，附加一個 MD5 (或者 SHA）的 Code，以防止人家修改。詳看下面的 Link （有益身心的，增廣見識的）

http://en.wikipedia.org/wiki/Key_(cryptography)

http://en.wikipedia.org/wiki/Private-key_cryptography

http://en.wikipedia.org/wiki/Public-key_cryptography

http://en.wikipedia.org/wiki/Digital_signature

http://en.wikipedia.org/wiki/MD5

http://www.winmd5.com/
（我很喜歡這個 MD5 小工具，以後的電子法律文件都要加上一個 MD5 Code 以防止人家改動該電子文件）

http://en.wikipedia.org/wiki/SHA-1

TOP

返回列表

“浮云”木马轻易攻破20家银行网银系统

[收藏此主題] [關注此主題的新回復]

[通過 QQ、MSN 分享給朋友]