淺析黑客究竟怎樣從銀行獲得非法利益

近期看到一篇名為《19歲少年狂賺上千萬》的文章，主要內容是講述一個國內學生通過銀行卡賺取了上千萬人民幣的真實故事。由于家境貧窮，負擔不起高額的大 學學費，而選擇一所職業中專求學。他在一次取錢的時候，發現我們手中的銀行卡都是連號的，于是産生一些想法，經過猜解密碼，他竟然“成功”的賺取了上千萬 人民幣。但因違反法律，最終還是落了一個入獄17年的下場。
　　也許很多人都在問，黑客究竟怎樣從銀行獲得非法利益的，下面我就簡單分析一下：

　　第一步：獲取銀行卡號和用戶信息

　　內行看門道，外行看熱鬧，這話一點不假。通常人們想到要獲取他人的銀行卡號，都會認為那是非常難的事情，其實這是整個過程中最簡單的一步，只需要自己 辦理一張相關銀行卡，只需要在最後一位進行相加(卡號都是相連的)，就可以得到輕松得到卡號。還有一種情況就是通過銀行小票來獲取卡號，多數人取完款或劃 卡消費後，都是把小票隨手扔在垃圾筒裏面，有些賊人就是靠那些小票，取得你銀行卡號，回去專門複制銀行卡號，來達到消費刷卡的非法目的。其實制作一張銀行 卡成本不會超過3元。

　　有了卡號，就需要破解密碼，但這之前首先要獲得用戶的個人信息，這是非常有用的。那麽黑客又是如何獲得個人的詳細信息呢?這其實也很簡單，就是利用搜 索引擎來搜信息，當然在淘寶之類的交易平台上收獲最大，信息也最全。還有一類就是利用木馬和病毒捕獲的信息等手段來獲取用戶信息，灰鴿子就屬于這類的。

　　其實用戶銀行帳號和信息被盜取從某方面來說，銀行有不可推卸的責任。看看那些ATM取款機的房間，保安每天都如同和尚撞鍾一樣的工作著，真的擔當了保 安的職責麽?多數只會拿著那狼牙棒子四處轉悠，問他個事情還愛搭不理的，不是趴在桌子上睡覺就是望著門外，不知道是在想事，還是在欣賞過街的美女。再來看 看天花板上面安裝的攝象頭，真正能“高清晰”拍攝到完整的畫面麽?真的就不存在死角麽?而且24小時開放的ATM銀行間內，經常會發生機器被破壞等現象。 這些問題的存在都是銀行方面的責任。

　　第二步：破解網銀帳號和密碼

　　在取得了銀行卡號和用戶信息後，接下來要做的就是破解密碼了，這也是整個過程中最重要和最艱難的一步。我們先看看網銀密碼的竊取。網絡銀行固然方便， 但是也存在著很大的隱患。其實很多網絡銀行都沒有鎖定輸入信息的錯誤記錄，只需要刷新重新登陸，一個id可以重複登陸，而且沒有ip限制，只是在後台運行 一套加密破解算法，根據搜索引擎和淘寶上搜到的個人信息來猜密碼，重複嘗試，直到成功。有些技術功底的就直接寫程序，讓計算機幫他猜，實在不行就換另外的 儲戶，畢竟還有上億的儲戶在使用，不用擔心資源不夠用。使用過網絡銀行的人都知道，我們一般都是先登陸該銀行的主頁，然後把自己的銀行帳號填寫進入，輸入 取款密碼就可以完成該交易，這個看似很順利成章的事情。但對于我們喜歡研究網絡安全的人來說，它采用的驗證機制是存在很大安全隱患的，連續地在ID和密碼 欄中輸入隨機數字，如果能夠登錄，就說明這個數字是正確的密碼。在網絡銀行中，企圖非法竊取密碼的作案者如果采用可以改變登錄ID的方法，即便登錄失敗， 網站也不會將密碼視為無效。

　　除了用軟件竊取網銀密碼以外，“冒充站點”也是網上銀行使用中一個非常重要的安全隱患。 比如，可以首先向客戶發送一個“本行網站正在進行促銷活動!”等內容的虛假郵件，然後誘騙客戶訪問虛假站點。客戶在不了解情況時就會向虛假站點發送ID和 密碼。客戶發送完畢後，如果顯示出一個“服務馬上就要停止”的畫面，或者把客戶訪問重新引導到正規站點上，客戶當時是很難察覺的。這樣一來，就存在有人進 行非法資金轉移的可能性。 這樣的網點行話稱之為“網絡釣魚”

　　而對于普通銀行卡來說，獲取密碼就簡單得多了。我們知道每次取現金的時候都要用到小鍵盤輸入密碼，而密碼的位數也無非是0-9，獲得密碼的概率大致在 10的6次方之一，對于一個雙核的3.4G的計算機來說，只要幾分鍾就能搞定。更簡單的方法還是有的，我們是用手指輸入密碼的，在ATM機上肯定會留下指 紋，如果有人專門做了一些手腳的話，也應該能清晰的知道您剛才使用過的密碼。但有個小問題，就是銀行為了保護儲戶安全，設定了輸入3次錯誤密碼就自動吞卡 的機制，這時自己複制的銀行卡就有用武之地了。當然，被ATM機吞了卡後，黑客通常會換地方繼續嘗試破解，否則見光的可能性會更高。即使在櫃台上，你也能 輕松的要回銀行卡，但通常凡是有點頭腦的“賊”都不會這麽做的，那樣無疑是給自己增加入獄的可能。

　　中國有句古話：鐵杵磨成針，只要有時間和耐心，讓黑客惦記上，准跑不了。也許有人會懷疑，這麽簡單就能破解密碼，那誰都能做黑客了。答案就是這麽簡 單，其實你會扪心自問一下，自己的銀行密碼很複雜麽?我想大多數人的銀行密碼都非常簡單。我曾經專門拿身邊的朋友，親戚，同學等人做了測試，得到了以下的 結論：一些儲戶為了好記密碼，取款密碼使用自己的生日號碼，還有更多的人還是喜歡把家中電話號碼做為密碼，最有意思的是有人居然把取款密碼設定為了 123456，我問他為什麽，人家說了，別人都把密碼設定的特複雜，我反倒要簡單，越危險的地方就是最安全的地方。呵呵，這位仁兄的理解，實在是搞笑。對 于那些設定為123456的人來說，你的密碼就更可說是形同虛設，真不知道當初銀行為什麽要把我們的取款密碼設定為6位。這也從另一方面說明了黑客為什麽 會輕松的破解密碼。

　　通過ATM來破解密碼，銀行也要負責。如果我們忘記取卡了，很少有機器發出提示警告或者發出報警聲響，在今天壓力較大的社會，我想到了李甯專賣店上醒目的台詞：一切都有可能，所以忘記拔卡也不是不可能出現的。入侵銀行數據庫的大牛



　　到這裏大功基本告成。剩下的事就是考慮如何花掉這些非法所得的金錢了。上面介紹的都是一些常規手段，還有一非常規手段，就需要有真正的黑客技術了，曾 經有大牛拿假身份證去辦卡，然後入侵某銀行的數據庫，給自己開了剛辦的這張卡裏存了一元錢，第二天，在ATM機上則如假包換的有了11元錢。這就證明了網 絡世界裏沒有絕對安全的理論。

　　為了更加形象的說明常規手段，下面是一段情景再現：

　　他，穿黑色套頭的運動上衣，頭戴白色網球帽，使用一張銀行卡，在人較少的時間段進入ATM操作間，把卡放入入卡口那裏，然後把取款機上的探頭利用口香 糖或雙面膠封存，利用液體口香糖噴灑在輸入鍵盤之上，因為是背對銀行的攝象頭，所以操作的時候是無法捕獲到的，然後熟練的取卡，注意這裏，他帶著手套，不 會破壞掉原本設立好的陷阱。然後在旁邊機器上以查詢服務為掩護，等待魚兒上鈎。在受害人插入銀行卡後，輸入密碼的時候，取錢完畢後，他便利用得到的取款小 票(多數人都是取完款，把小票隨手扔在垃圾筒裏面)來仿制出跟你相似的銀行卡，根據你在鍵盤上的指紋，來記錄你的取款密碼……剩下的事，大家就都知道了。

　　作為用戶我們應該怎樣避免這些被盜竊事件的發生?

　　1、網銀用戶輸入密碼的時候采用叉分圖標法，利用鼠標不斷切換光標來輸入密碼，以防止被hook跟蹤，一個星期更換一次個人密碼，采用手動記錄。

　　2、不要太相信計算機，把密碼本放在別人不容易找到和看到的地方，不再使用生日做為密碼，電話號碼。手機，名字大小寫來設立網銀密碼。

　　3、勤打系統補丁，升級殺毒軟件，一旦發現網銀損失，立即報案，讓公安協助追查，不要想著散財得福，贻誤捕獲銀行黑客的最佳時機。

　　在此我也誠懇的呼籲銀行的某些相關負責人，該為我們這些儲戶考慮下安全了，你們銀行的一些做法真是讓人無法理解，一些涉及安全的服務模塊(網絡銀行的 一些模塊)都要分包給一些公司來做，銀行的網站裏的好多服務模塊都是一些小公司來設計的，網絡監控也是靠一些關系戶來運做，他們真正的懂得何為“安全” 麽?更多的是為了賺取更高額的利潤，當然中間辦事人的腰包也不會瘦了。哎，真的太讓人寒心了，不過看到你們也推出了一些防範措施多少還感到一些欣慰，網盾 的推出，個人銀行實名制的制訂。多少能給我們帶來一些安慰。