“证券大盗”和“网上黑手”在盗取投资者账号和密码时,通常都是利用各种木马,常见的盗号手段主要有以下7种。
1.制作虚假网站
有的“证券大盗”和“网上黑手”会首先建立一个与网络银行官方网站非常相像的假网页和域名,诱骗投资者输入账号密码等信息,或者在制作的假网站中包含用于植入木马的恶意脚本。除此之外,“证券大盗”和“网上黑手”也会购买包含大量邮箱地址的数据库,然后向这些邮箱发送一些有诱惑性的内容,引诱投资者访问假网页。无论采取哪种欺骗方式进行盗号,一旦投资者受骗,他们的隐私数据都会被“证券大盗”和“网上黑手”得知。
2.直接攻击服务
“证券大盗”和“网上黑手”还会对金融网站服务器直接发起攻击,以获取服务器中所有投资者的账号和密码。
3.键盘记录
记录投资者的键盘输入顺序是网银木马最常用的手段。“证券大盗”和“网上黑手”所制造的键盘记录木马会自动监视投资者正在操作的窗口,当发现投资者正在访问某网银系统的登录页面时,就开始记录所有从键盘输入的内容。
4.嵌入浏览器
网络银行交易都是在网页浏览器中完成的,“证券大盗”和“网上黑手”所编写的嵌入浏览器进程中的恶意代码,不仅能够获取投资者当前访问的页面地址和页面内容,还能够在投资者账号和密码以SSL安全加密方式发送出去之前获取它们。“证券大盗“和“网上黑手”所编写的这种木马,通常还会改变投资者正在浏览的页面内容,比如增加一段用以获取投资者账号和密码后并发送出去的JavaScript脚本,或者让浏览器自动打开另外一个恶意的网页。
目前,对于那些只对交易对话进行验证,而没有对交易过程进行验证的Web系统,“证券大盗“和“网上黑手“所编写的嵌入浏览器的恶意代码甚至可以完全控制一次交易。由于交易系统只对投资者身份进行验证,而确定投资者身份之后,便会无条件地执行任何
来自投资者的指令。嵌入浏览器的恶意木马可以等到投资者验正通过后拦截投资者的转账操作,篡改数据后发送给服务器,服务器无法区分给它发出转账指令的是投资者还是木马,直接执行了转账,木马再把服务器返回的信息篡改后显示给投资者。
5.进行屏幕录制
进行屏幕录制也是网银木马常用的一种手段。其原理是在键盘记录的基础上,额外记录了投资者单击鼠标时的光标坐标,以及当时的屏幕截图。之后,“证券大盗”和“网上黑手”根据这些数据,可以完全推测出投资者在进行交易时敲击了哪些键、单击了哪些按钮、看到了什么结果等。
6.窃取数字证书文件
数字证书是网银交易的一项重要安全保护措施。有些交易系统允许投资者把数字证书保存成硬盘文件,“证券大盗”和“网上黑手”就可以利用这个漏洞获取数字文件,并利用获取的信息达到盗取投资者账号和密码的目的。
7.伪装窗口
伪装窗口的木马程序攻击原理是:首先向IE浏览器注入一个DLL,以监视当前网页的网址,同时记录键盘。当监视到投资者输入了卡号、密码并进行提交之后,就迅速隐藏浏览器窗口,同时弹出“证券大盗”和“网上黑手”制作的和在线理财页面非常相似的窗口,并声称由于系统维护需要,投资者必须重新输入密码。只有当投资者再次输入的密码和最初登录时的密码吻合时,木马程序才会把密码发送给“证券大盗”和“网上黑手”。