中国网银用户交易的病毒防范.docVIP

　　中国网银用户交易的病毒防范～教育资源库 　　前言 　　自从上世纪90年代，中国各大银行纷纷推出网络银行服务以来，网银交易这个新兴的金融业务形式，以其高效、灵活、低成本、全天候的便捷服务，迅速聚集了大量用户，并且还在吸引着更多未来用户。网络技术给网银服务带来了传统银行业务无法媲美的优越性，同时也带来了一个对用户对银行都非常重要的课题网银交易的安全性问题。 　　因此，网络银行和各种网上支付平台一直都是黑客和病毒们非常感兴趣的对象。随着近年来中国网银用户数量的突飞猛进，越来越多的中国黑客开始针对国内各种在线金融业务发动攻击或编写木马。 　　2004年4月，网银大盗（Trojan/PSon）的和传播者，利用木马窃取的帐号密码，登录网上银行，提取了4.8万元现金。 　　2004年末，证券大盗（Trojan/PSon）。两年半过去了，根据江民公司病毒预警系统的数据，我们得出了下面的统计结果： 　　 　　图1 　　图1显示了从2004年8月到2006年10月期间，用户感染各类网银木马及其变种的数量。从图中可以看到，目前每月感染国内用户的网银木马病毒的数量大约有160种，相比之下，2004年每月只有10种左右。而且，红色的统计图线位于绿色的匀速增长直线下方，这说明，过去2年，网银木马的数量整体上呈加速增长的趋势。 　　受感染用户群快速增长 　　被网银木马感染的国内计算机数量，2004年只有大约60台，2005年约为1100台，2006年前10个月，已经有超过37000台电脑感染过网银木马。（如图2，这些数据仅仅是从安装了江民反病毒软件的计算机中统计出来的，实际数字可能还要多几倍，但数字之间的比例应该不会有太大变化）3年的时间内，被网银木马感染的国内用户数量增长了600倍。 　　 　　图2 　　网银木马的常用技术 　　虚假网站和服务器攻击 　　黑客首先建立一个酷似网络银行官方网站的假网页，该网页诱骗用户输入帐号密码等信息，或者包含用于种植木马的恶意脚本。然后给假网页申请一个酷似官方的域名，等待用户由于拼写错误而连接进来；有时黑客也会花几十元购买一个包含几百万邮箱地址的数据库，然后向这些邮箱发送钓鱼（phishing）邮件。邮件内容通常包含煞有其事的文字，引诱用户访问假网页。无论哪种欺骗方式，一旦用户上当受骗，他们的隐私数据都会被发送到黑客那里。 　　证券大盗（Trojan/PSW.Soufan）的就是为他的网页申请了与某知名证券咨询网站类似的域名，并且编写了利用IE浏览器漏洞的恶意脚本，成功的让他的木马感染了大量用户。 　　有时黑客还会对金融网站服务器直接发起攻击。虽然这种攻击成功的机会不大，但2006年8月，国内某知名证券业网站还是被黑客入侵，该网站上提供下载的所有证券交易客户端软件都被捆绑上了网银木马。 　　键盘记录 　　记录用户的键盘输入是网银木马最常用的手段之一。这类木马一般会监视用户正在操作的窗口，如果发现用户正在访问某网银系统的登录页面，就开始记录所有从键盘输入的内容。这种方法很通用也很简单，用于获取网银或者在线游戏的帐号密码时，效果一直很好。 123下一页 友情提醒：，特别！ 　　2004年11月的网银大盗Ⅱ木马，是一个典型的例子，它把几乎所有的国内网银系统都列为盗窃的目标。在测试中，只有少数提供虚拟键盘技术的登录系统可以避开它。 　　嵌入浏览器执行 　　多数网银交易都是通过网页浏览器完成的，嵌入浏览器进程中的恶意代码能够获取用户当前访问的页面地址和页面内容，还能够在用户数据以SSL安全加密方式发送出去之前获取它们。利用这种技术的木马，通常会动态改变用户正在浏览的页面内容，比如增加一段用以获得帐号密码然后发送出去的javascript脚本，或者让浏览器自动打开另外一个恶意的网页。使用网页脚本制作的虚拟键盘，在对付这类木马时会完全失效。 　　网银大盗木马（Trojan/PSon）就利用了这种技术，它监测到用户正在访问某个引用了安全登录控件的地址时，就会让浏览器自动跳转到另外一个网页。后者看上去和正常登录页面没什么两样，只是没有任何安全登录控件的保护。 　　对于那些只对交易对话进行验证，而没有对交易过程进行验证的系统，嵌入浏览器的恶意代码甚至可以完全控制一次交易。这样的交易系统只对用户身份进行验证，而在用户身份确定之后无条件的执行任何来自用户的指令。木马可以等到用户验证通过后再开始工作，拦截用户的转账操作，篡改数据后发送给服务器，服务器没有办法区分给它发出转账指令的是用户还是木马，直接执行了转账，木马再把服务器返回的信息篡改后显示给用户。目前，这种技术只在国外的一些网银木马上看到，国内尚未发现这样的例子。 　　屏幕录像 　　有些网银木马的确会进行录像，