中国黑客攻击网上银行现状分析

中国黑客攻击网上银行现状分析

【摘要】：在网络信息时代的今天，网络安全问题日趋严重，黑客攻防技术成为当今网络技术关注和发展的焦点。本文列举了五个近年来国内网上银行遭黑客攻击的典型案例，剖析了黑客攻击的原理，总结了几种常见的网上银行攻击技术，并在最后给出了关于如何防范黑客攻击网上银行的三个建议。

【关键词】：网上银行黑客网络攻击木马钓鱼

引言

自上世纪90年代，中国各大银行纷纷推出网上银行服务以来，网上银行交易这个新兴的金融业务形式，以其高效、灵活、低成本、全天候的便捷服务，迅速聚集了大量用户，并且还在吸引着更多未来用户。网络技术给网银服务带来了传统银行业务无法媲美的优越性，同时也带来了一个对用户对银行都非常重要的课题——网上银行交易的安全性问题。因此，网络银行和各种网上支付平台一直都是黑客和病毒作者们非常感兴趣的对象。随着近年来中国网上银行用户数量的突飞猛进，越来越多的中国黑客开始针对国内各种在线银行业务发动攻击或编写木马。

一、典型案例

（一）

2004年7月，黑龙江人付某使用了一种木马程序，挂在自己的网站上；荆州人赵蓉下载付某的软件，木马就“进入”电脑；屏幕上敲入的信息通过邮件发出：账户、密码；付某成功划出1万元；抓获付某时，他已获取7000多个全国各地储户的网上银行密码。

（二）

2004年10月，三名犯罪分子从网上搜寻某银行储蓄卡卡号，然后登陆该银行网上银行网站，尝试破解弱口令，并屡屡得手；

（三）

2006年04月—5月,北京地区使用工商银行网上银行的客户,陆续有人发现自己账户中的存款被人转移到陌生账号上,被盗金额从几百到一万不等. 黑客使用伪造的工商银行的假网站,用户登录虚假网站后,网站的病毒程序会将盗窃来的账号密码发到指定的邮箱。

（四）

2005年7月，某市17岁在校生刘某，利用互联网传播“网银大盗”木马程序，盗取了134个网民的银行账号和密码，并将他人银行账户上的钱款转到自己的账户中，先后共盗取他人存款5万余元；

（五）

甘肃王某趁公司演示网上银行业务，快速地记公司账号及网上银行客户卡密码。并找机会将12万元资金划拨到了其事先开立的“楚鑫”账户上；

二、黑客攻击原理

（一）黑客的动机

从黑客行为上划分，黑客有“善意”与“恶意”两种，即所谓白帽（White Hat）及黑帽（Black Hat）。白帽利用他们的技能做一些善事，而黑帽则利用他们的技能做一些恶事。白帽长期致力于改善计算机社会及其资源，为了改善服务质量及产品，他们不断寻找弱点及脆弱性并公布于众。与白帽的动机相反，黑帽主要从事一些破坏活动，从事的是一种犯罪行为。

1.好奇心

许多黑客声称，他们只是对计算机网络感到好奇，希望通过探究这些网络来更好地了解它们是如何工作的。

2. 个人声望

通过破坏具有高价值的目标以提高在黑客社会中的可信度及知名度。

3. 窃取情报

在Internet上监视个人、企业及竞争对手的活动信息及数据文件，以达到窃取情报的目的。

4. 金钱

有相当一部分的电脑犯罪是为了赚取金钱。

（二）黑客攻击的流程

尽管黑客攻击系统的技能有高低之分，入侵系统手法多种多样，但他们对目标系统实施攻击的流程却大致相同。其攻击过程可归纳为以下9个步骤：踩点、

扫描、查点、获取访问权、权限提升、窃取、掩盖踪迹、创建后门、拒绝服务攻击。

1.踩点

“踩点”原意为策划一项盗窃活动的准备阶段。举例来说，当盗贼决定抢劫一家银行时，他们不会大摇大摆地走进去直接要钱，而是狠下一番工夫来搜集这家银行的相关信息，包括武装押运车的路线及运送时间、摄像头的位置、逃跑出口等信息。在黑客攻击领域，“踩点”是传统概念的电子化形式。“踩点”的主要目的是获取目标的如下信息：

（1）因特网网络域名、网络地址分配、域名服务器、邮件交换主机、网关等关键系统的位置及软硬件信息。

（2）内联网与Internet内容类似，但主要关注内部网络的独立地址空间及名称空间。

（3）远程访问模拟/数字电话号码和VPN访问点。

（4）外联网与合作伙伴及子公司的网络的连接地址、连接类型及访问控制机制。

（5）开放资源未在前4类中列出的信息，例如 Usenet、雇员配置文件等。

2.扫描

通过踩点已获得一定信息（IP地址范围、DNS服务器地址、邮件服务器地址等），下一步需要确定目标网络范围内哪些系统是“活动”的，以及它们提供哪些服务。与盗窃案之前的踩点相比，扫描就像是辨别建筑物的位置并观察它们有哪些门窗。扫描的主要目的是使攻击者对攻击的目标系统所提供的各种服务进行评估，以便集中精力在最有希望的途径上发动攻击。

扫描中采用的主要技术有Ping扫射（Ping Sweep）、TCP/UDP端口扫描、操作系统检测以及旗标（banner）的获取。

3.查点

通过扫描，入侵者掌握了目标系统所使用的操作系统，下一步工作是查点。查点就是搜索特定系统上用户和用户组名、路由表、SNMP信息、共享资源、服务程序及旗标等信息。查点所采用的技术依操作系统而定。

在Windows系统上主要采用的技术有“查点NetBIOS”线路、空会话（Null Session）、SNMP代理、活动目录（Active Directory）等。

4.获取访问权

在搜集到目标系统的足够信息后，下一步要完成的工作自然是得到目标系统的访问权进而完成对目标系统的入侵。对于Windows系统采用的主要技术有NetBIOS拟SMB密码猜测（包括手工及字典猜测）、窃听LM及NTLM认证散列、攻击IIS Web服务器及远程缓冲区溢出。而UNIX系统采用的主要技术有蛮力密码攻击；密码窃听；通过向某个活动的服务发送精心构造的数据，以产生攻击者所希望的结果的数据驱动式攻击(例如缓冲区溢出、输入验证、字典攻击等)；RPC 攻击；NFS攻击以及针对X-Windows系统的攻击等。

5.权限提升

一旦攻击者通过前面4步获得了系统上任意普通用户的访问权限后，攻击者就会试图将普通用户权限提升至超级用户权限，以便完成对系统的完全控制。这种从一个较低权限开始，通过各种攻击手段得到较高权限的过程称为权限提升。权限提升所采取的技术主要有通过得到的密码文件，利用现有工具软件，破解系统上其他用户名及口令；利用不同操作系统及服务的漏洞（例如Windows 2000