网络银行交易都是通过在网页浏览器中完成的,“证券大盗”和“网上黑手”所编写的嵌入浏览器进程中的恶意代码,不仅能够获取投资者当前访问的页面地址和页面内容,还能够在投资者账号和密码以SSL安全加密方式发送出去之前获取它们。“证券大盗”和“网上黑手”所编写的这种木马,通常还会改变投资者正在浏览的页面内容,例如增加一段用以获取投资者账号和密码后并发送出去的Javascript脚本,或者让浏览器自动打开另外一个恶意的网页。
浏览器
目前,对于那些只对交易对话进行验证,而没有对交易过程进行验证的Web系统,“证券大盗”和“网上黑手”所编写的嵌入浏览器的恶意代码甚至可以完全控制一次交易。由于交易系统只对投资者身份进行验证,而确定投资者身份之后,便会无条件地执行任何来自投资者的指令。嵌入浏览器的恶意木马可以等到投资者验证通过后拦截投资者的转账操作,篡改数据后发送给服务器,服务器无法区分给它发出转账指令的是投资者还是木马,直接执行了转账,木马再把服务器返回的信息篡改后显示给投资者。
