Board logo

標題: “浮云”木马轻易攻破20家银行网银系统 [打印本頁]
作者: homeinns    時間: 2013-3-13 16:03     標題: “浮云”木马轻易攻破20家银行网银系统

本帖最後由 homeinns 於 2013-3-13 16:07 編輯

只不过向支付宝充值了2000余元,网银上的3万元却不翼而飞,家住江苏省徐州市的XXXXX不幸成为一种新型木马病毒的百名受害者之一。

http://www.legaldaily.com.cn/ind ... 3023.htm?node=33768

http://www.takungpao.com.hk/sy/2012-10/17/content_1239667.htm

打開「熱心網友」發來的一個軟件包,網上銀行賬戶內的現金竟然不翼而飛……

http://news.xinhuanet.com/tech/2012-10/16/c_113380155.htm

侦破此案的网警惊叹,目前国内外尚无这种技术的木马程序,“这小伙子是个天才,可惜用错了地方”。


偉哉中華,誰說中國沒有人才,只可惜 ..................
只要在 $$$$ 的驅動下, 中國簡直是人才輩出, ........... 因爲真是窮得太久啦,現在改革開放後才 ............

香港那些電腦毒男,連這是 “木馬” 是什麽鬼東西也不知道 ........

這個故事教訓我們,網絡銀行還是安全的 (因爲有一個獨一無二的 Random Number Generator Key 和 獨一無二的 Digital Certificate 認證,應該還是絕對安全的)。

現在這網上犯罪,主要問題是出在淘寳網 購物,在支付寳充值的過程中發生的狸貓換太子”玩意兒。
並不是網上銀行出現問題哦(與銀行絕對沒有任何的關係),
報道的頭條有一些誤導公衆之嫌

在淘寳網 上購物, 在支付寳充值,通常都是  Low-Value-Purchase, 絕對不會在支付寳上 充值幾万塊錢的。


因爲 TIC (This is China), 我在國内也步步爲營
我發工資用的互聯網銀行戶口,有獨一無二的 Random Number Generator Key 和 獨一無二的 Digital Certificate 認證,應該還是絕對安全的 + 私人記憶中的密碼。 除非同時掉失了 Random Number Generator Key 和 同時盜取到我腦袋中的  “密碼”。

我的支付寳賬號通常只有很零碎的幾毛錢而已, 在淘寳網上購物通常都是 Low Value Purchase (少於幾百元 Maximum),而且購物後才去支付寳充值,購物多少,就充值多少(沒有任何剩餘的錢留在支付寳的賬號上)

如果這些 “木馬的賊” 把我支付寳的充值幾百塊錢 Divert 去那些網上遊戲金幣的戶口,我的淘寳購買就不能成功,因此我馬上會知道的,最大的損失纔是這幾百塊錢 Maximum, 絕對沒有可能掏空我發工資的互聯網的銀行戶口, 報紙的頭條純粹是誤導公衆,引起公衆恐慌而已。

各位對 上面的  報紙報道的 “誤導” 有什麽意見呢 ??

你們在 互聯網銀行上的 $$$$ 會不會被人家 用  “木馬” 去掏空呢 ????
作者: 雯雯    時間: 2013-3-13 16:38

回復 1# homeinns

我之前試過支付寶被盜了幾百元, 原因是當時開了餘額支付功能, 自此之後我每次要用的時候才透過手機動態密碼才開啟此功能. 其實建議專門用1個網銀戶口給網購用, 不用存太多錢入去. 不過對我來說比較難, 因為有時候要幫公司採購.
作者: 角色    時間: 2013-3-13 21:34

我用深圳工行网银,用USB key做确认。
作者: homeinns    時間: 2013-3-14 15:22

本帖最後由 homeinns 於 2013-3-14 15:38 編輯

不用存太多錢入去:-   鋪鋪清就是最穩妥,我的支付寳賬戶裏只有幾塊錢的零錢而已。
看來,最危險的網上交易環節還是從網銀 Transfer Fund 去支付寳網頁的一刹那 (因爲中間跳出來的支付寳網頁有可能是假扮的):-   就是這個案件的核心原因。  (通常支付寳的 Fund Transfer 都是 Low-Value Purchase,就是發覺被假扮的網頁騙去 100 幾十塊錢,也不會去報警,也就是這個原因, 積少成多,幾千個網民受騙,加起來就有 100幾十萬元)。   技術的用語是  Man-In-the-Middle-Attach。
我深信,網上銀行,和 支付寳(阿里巴巴公司)應該是絕對安全的,
問題就出在 Interface 的地方。(3不管的地帶嗎

用USB key做确认。:-   這就是個人的 Certificate (獨一無二的 Private Key),只要你不遺失這一條 Private Key, 網絡銀行就可以認定擁有這 Private Key (Certificate)的人就是真正的銀行賬號擁有人。(再加上 這 USB 的密碼, 和存放在你腦袋瓜兒的 個人密碼),應該是絕對安全的。  (因爲只要你不遺失這一條獨一無二的 Private Key,賊人是沒有辦法去 Duplicate 你這一條 Private Key, 因爲 Key 永遠都在我的手上(沒有遺失),是沒有辦法去複製這一條 Key (Certificate)的

也就是這一件網上犯罪的事件,我向 Wekipedia 老師,請教了 Digital 加密的原理
Private Key  &  Public Key (是一對孿生兄弟),用這些 Key Pair 進行 Digital 加密和 Authentication,基本上,網上銀行 的商業交易還是絕對安全的。(加上商業級別的 IPSec 或 SSL VPN 高度加密的 Tunnel),基本上是絕對安全的。(我們用來破網翻墻的 PPTP VPN 用來看看 水果人報,聼聼狂貓,瘋牛,長髮, 19才子的 反動廣播就可以,用來做網上銀行的加密就太危險啦)

強列建議網友們,因應這一起的 網上付款的犯罪案件,去看一看 Wekipedia 對 Private Key  &  Public Key Encryption 的最基本理論。
原來 cryptography 是一個非常大的學問。(你們看,還是看英語的科技文獻比較容易理解)

在 MicroSoft Office 2010 的版本裏面,已經加入 Digital Signature 這個功能,看來,我們每一天在日常工作中的 電子文件, docx,  xlsx,  pptx,   pdf,  dwg .......尤其是一些有法律約束性的文件,都要加上 Digital Signature (Private Key Encryption), 或者好像一些國内的老翻軟件一樣,附加一個 MD5 (或者 SHA)的 Code,以防止人家修改。 詳看下面的 Link (有益身心的,增廣見識的)

http://en.wikipedia.org/wiki/Key_(cryptography)

http://en.wikipedia.org/wiki/Private-key_cryptography

http://en.wikipedia.org/wiki/Public-key_cryptography

http://en.wikipedia.org/wiki/Digital_signature

http://en.wikipedia.org/wiki/MD5

http://www.winmd5.com/
(我很喜歡這個 MD5 小工具,以後的電子法律文件都要加上一個 MD5 Code 以防止人家改動該電子文件)

http://en.wikipedia.org/wiki/SHA-1



歡迎光臨 電訊茶室 (http://telecom-cafe.com/forum/) Powered by Discuz! 7.2