登录

网银木马介绍及防范

发布时间:2013-10-08

专题简介:


网银木马是针对网上交易系统编写的木马病毒,其目的是盗取用户的卡号、密码,甚至安全证书。它利用了第三方支付HTTP网页与网银的衔接认证缺陷,可以危害几乎所有的网络银行与第三方支付的衔接环节,窃取成功率极高,犯罪后极难追查。

网银木马介绍及防范

定义: 
   网银木马是针对网上交易系统编写的木马病毒,其目的是盗取用户的卡号、密码,甚至安全证书。它利用了第三方支付HTTP网页与网银的衔接认证缺陷,可以危害几乎所有的网络银行与第三方支付的衔接环节,窃取成功率极高,犯罪后极难追查。

诱导用户购物 >一对一传播 >感染买家电脑 >劫持支付页面 >诈骗成功 >迅速消费 
   实录:

2011年12月29日,王先生在淘宝上购买电视,和店家通过阿里旺旺以及QQ交流,并向卖家支付了一笔6500元的款项。之后,卖家向王先生发来一个网址,称交易没成功,要求其点击激活码再次确认。看到界面上“支付为零元,仅作为激活码用”的字样,王先生没有加以警惕,进行了点击确认。之后,对方表示交易仍未成功,让王先生再次确认。如此反复操作几次后,系统突然显示余额不足。王先生这才意识到,自己可能被诈骗了,一查之下才发现,自己的银行账户已被转走了三万六千元。在此支付过程中,支付平台并没有显示任何风险提示或警示。

王先生到银行查询款项流向,发现自己的钱分几次转到了某知名第三方支付平台的账号上。王先生于是向该支付公司交涉。工作人告诉王先生,他可能被诈骗了,应找警方报案。支付企业只是做为支付流通平台,不承担相关责任,并表示无法满足王先生提出的冻结该笔款项的要求。王先生于是向当地警方报案,并由当地警方向该支付企业所在地北京的警方发出了协查函。但在此期间,支付企业的工作人员又告知王先生,他的钱已经被转走了。
   作案原理:

网银木马通常针对性较强,木马作者可能首先对某银行的网上交易系统进行仔细分析,然后针对安全薄弱环节编写病毒程序。如2004年的“网银大盗”病毒,在用户进入工行网银登录页面时,会自动把页面换成安全性能较差、但依然能够运转的老版页面,然后记录用户在此页面上填写的卡号和密码;“网银大盗3”利用招行网银专业版的备份安全证书功能,可以盗取安全证书;2005年的“新网银大盗”,采用API Hook等技术干扰网银登录安全控件的运行。

 



 

作案过程:

病毒会借助网络购物页面中的图片、常用软件进行传播,病毒运行后,会修改用户网上购物的收款人信息,使用户将钱打到黑客账户中,并可对用户浏览器进行强制篡改,指向恶意网站。

安全专家介绍,最新的病毒在以前版本的基础上,进一步利用下载工具、浏览器和购物软件来加载自身,由于这些软件具有合法的数字签名,往往会被杀毒软件当作正常操作放过,因此可以实现开机自行启动病毒体,并得以进行修改用户IE首页、篡改网络交易收款人信息等病毒行为。

注意上下图片对比,“定单号”发生了改变,支付页面局部也不一样,是新老不同的版本。


作案流程: 

诱导用户购物->一对一传播->感染买家电脑->劫持支付页面->诈骗成功->迅速消费,这个黑色链条正是黑客利用“网银超级木马”进行钓鱼诈骗的犯罪流程。

“网银超级木马”病毒:

2012年3月,瑞星发布“网银超级木马”预警,该病毒会将自身伪装成“图片介绍细节”,并借助正规图片工具进行启动,用户一旦感染,在网上支付时如果看到“支付失败”的提示信息,说明钱财很可能已经被黑客骗取。更为恶劣的是,病毒会弹出支付失败的页面,提示用户“对不起,本次支付失败!系统超时导致了交易失败,本次交易未扣款。请您返回商户页面重新进行支付”,继续骗取用户的财产。

危害性:网购木马日袭万人、月吸500万 

“网购木马造成的个体经济损失往往数额不算太大,公安机关都难以立案,很多网友在资金损失后也选择了忍气吞声,或者将矛头指向淘宝或第三方支付平台,其实淘宝及第三方支付只是替罪羔羊,他们也是受害者。真正的吸血鬼隐藏在暗处,还没等你反应过来,新的木马变种又会杀得你措手不及。”



防范秘笈:
1、电脑任选安装安全软件之一:QQ电脑管家、360杀毒或金山网购保镖;
2、使用安全浏览器上网;
3、只在特定电脑上使用网银;
4、不接受任何陌生的链接或文件;
5、不浏览乱七八糟的网页;
6、将网银关联的银行卡设置帐户变化短信提醒。