定義:?
網(wǎng)銀木馬是針對(duì)網(wǎng)上交易系統(tǒng)編寫(xiě)的木馬病毒,其目的是盜取用戶的卡號(hào)、密碼���,甚至安全證書(shū)。它利用了第三方支付HTTP網(wǎng)頁(yè)與網(wǎng)銀的銜接認(rèn)證缺陷,可以危害幾乎所有的網(wǎng)絡(luò)銀行與第三方支付的銜接環(huán)節(jié)�����,竊取成功率極高�,犯罪后極難追查����。
誘導(dǎo)用戶購(gòu)物 ?>一對(duì)一傳播 ?>感染買(mǎi)家電腦 ?>劫持支付頁(yè)面 ?>詐騙成功 ?>迅速消費(fèi)?
?
實(shí)錄:
2011年12月29日,合肥的王先生在淘寶上購(gòu)買(mǎi)電視���,和店家通過(guò)阿里旺旺以及QQ交流�,并向賣(mài)家支付了一筆6500元的款項(xiàng)。之后����,賣(mài)家向王先生發(fā)來(lái)一個(gè)網(wǎng)址,稱交易沒(méi)成功�,要求其點(diǎn)擊激活碼再次確認(rèn)?����?吹浇缑嫔稀爸Ц稙榱阍?,僅作為激活碼用”的字樣,王先生沒(méi)有加以警惕���,進(jìn)行了點(diǎn)擊確認(rèn)����。之后�����,對(duì)方表示交易仍未成功,讓王先生再次確認(rèn)�����。如此反復(fù)操作幾次后����,系統(tǒng)突然顯示余額不足��。王先生這才意識(shí)到���,自己可能被詐騙了����,一查之下才發(fā)現(xiàn)���,自己的銀行賬戶已被轉(zhuǎn)走了三萬(wàn)六千元�����。在此支付過(guò)程中���,支付平臺(tái)并沒(méi)有顯示任何風(fēng)險(xiǎn)提示或警示。
? ?
王先生到銀行查詢款項(xiàng)流向,發(fā)現(xiàn)自己的錢(qián)分幾次轉(zhuǎn)到了某知名第三方支付平臺(tái)的賬號(hào)上���。王先生于是向該支付公司交涉�����。工作人告訴王先生����,他可能被詐騙了��,應(yīng)找警方報(bào)案����。支付企業(yè)只是做為支付流通平臺(tái),不承擔(dān)相關(guān)責(zé)任�����,并表示無(wú)法滿足王先生提出的凍結(jié)該筆款項(xiàng)的要求���。王先生于是向當(dāng)?shù)鼐綀?bào)案����,并由當(dāng)?shù)鼐较蛟撝Ц镀髽I(yè)所在地北京的警方發(fā)出了協(xié)查函。但在此期間����,支付企業(yè)的工作人員又告知王先生,他的錢(qián)已經(jīng)被轉(zhuǎn)走了����。
作案原理:
網(wǎng)銀木馬通常針對(duì)性較強(qiáng)��,木馬作者可能首先對(duì)某銀行的網(wǎng)上交易系統(tǒng)進(jìn)行仔細(xì)分析�����,然后針對(duì)安全薄弱環(huán)節(jié)編寫(xiě)病毒程序��。如2004年的“網(wǎng)銀大盜”病毒�,在用戶進(jìn)入工行網(wǎng)銀登錄頁(yè)面時(shí),會(huì)自動(dòng)把頁(yè)面換成安全性能較差��、但依然能夠運(yùn)轉(zhuǎn)的老版頁(yè)面����,然后記錄用戶在此頁(yè)面上填寫(xiě)的卡號(hào)和密碼;“網(wǎng)銀大盜3”利用招行網(wǎng)銀專業(yè)版的備份安全證書(shū)功能�����,可以盜取安全證書(shū);2005年的“新網(wǎng)銀大盜”�����,采用API Hook等技術(shù)干擾網(wǎng)銀登錄安全控件的運(yùn)行��。
?
作案過(guò)程:
病毒會(huì)借助網(wǎng)絡(luò)購(gòu)物頁(yè)面中的圖片��、常用軟件進(jìn)行傳播�����,病毒運(yùn)行后���,會(huì)修改用戶網(wǎng)上購(gòu)物的收款人信息����,使用戶將錢(qián)打到黑客賬戶中����,并可對(duì)用戶瀏覽器進(jìn)行強(qiáng)制篡改,指向惡意網(wǎng)站�。
?
安全專家介紹�����,最新的病毒在以前版本的基礎(chǔ)上���,進(jìn)一步利用下載工具、瀏覽器和購(gòu)物軟件來(lái)加載自身����,由于這些軟件具有合法的數(shù)字簽名,往往會(huì)被殺毒軟件當(dāng)作正常操作放過(guò)���,因此可以實(shí)現(xiàn)開(kāi)機(jī)自行啟動(dòng)病毒體,并得以進(jìn)行修改用戶IE首頁(yè)����、篡改網(wǎng)絡(luò)交易收款人信息等病毒行為。
注意上下圖片對(duì)比����,“定單號(hào)”發(fā)生了改變,支付頁(yè)面局部也不一樣�����,是新老不同的版本。
作案流程:?
誘導(dǎo)用戶購(gòu)物->一對(duì)一傳播->感染買(mǎi)家電腦->劫持支付頁(yè)面->詐騙成功->迅速消費(fèi)����,這個(gè)黑色鏈條正是黑客利用“網(wǎng)銀超級(jí)木馬”進(jìn)行釣魚(yú)詐騙的犯罪流程。
?
“網(wǎng)銀超級(jí)木馬”病毒:
2012年3月�,瑞星發(fā)布“網(wǎng)銀超級(jí)木馬”預(yù)警,該病毒會(huì)將自身偽裝成“圖片介紹細(xì)節(jié)”�,并借助正規(guī)圖片工具進(jìn)行啟動(dòng),用戶一旦感染���,在網(wǎng)上支付時(shí)如果看到“支付失敗”的提示信息���,說(shuō)明錢(qián)財(cái)很可能已經(jīng)被黑客騙取。更為惡劣的是�����,病毒會(huì)彈出支付失敗的頁(yè)面��,提示用戶“對(duì)不起����,本次支付失敗���!系統(tǒng)超時(shí)導(dǎo)致了交易失敗����,本次交易未扣款。請(qǐng)您返回商戶頁(yè)面重新進(jìn)行支付”����,繼續(xù)騙取用戶的財(cái)產(chǎn)。
?
?
危害性:網(wǎng)購(gòu)木馬日襲萬(wàn)人�、月吸500萬(wàn)?
“網(wǎng)購(gòu)木馬造成的個(gè)體經(jīng)濟(jì)損失往往數(shù)額不算太大,公安機(jī)關(guān)都難以立案�,很多網(wǎng)友在資金損失后也選擇了忍氣吞聲,或者將矛頭指向淘寶或第三方支付平臺(tái)�����,其實(shí)淘寶及第三方支付只是替罪羔羊����,他們也是受害者��。真正的吸血鬼隱藏在暗處���,還沒(méi)等你反應(yīng)過(guò)來(lái)��,新的木馬變種又會(huì)殺得你措手不及����。”
?
360安全中心首度曝光的網(wǎng)銀木馬“四大家族”���,代號(hào)分別為盜草工作室����、烈火工作室��、紅名工作室以及耀發(fā)工作室���。他們?cè)O(shè)計(jì)出了傳播中70%以上的網(wǎng)銀木馬����,保守估計(jì)�����,每月從網(wǎng)民口袋中掠奪的非法收入超過(guò)500萬(wàn)元��。2010年被不法分子盯上的網(wǎng)購(gòu)用戶損失總額已達(dá)到150億元���。
防范秘笈:
1����、電腦任選安裝安全軟件之一:QQ電腦管家、360殺毒或金山網(wǎng)購(gòu)保鏢�;
2、使用360安全瀏覽器上網(wǎng)�;
3、只在特定電腦上使用網(wǎng)銀����;
4、不接受任何陌生的鏈接或文件�;
5、不瀏覽亂七八糟的網(wǎng)頁(yè)���;
6����、將網(wǎng)銀關(guān)聯(lián)的銀行卡設(shè)置帳戶變化短信提醒�。
