黑客盯上智能手机 高科技盗钱侦破困难
偶然发现自己银行卡里的钱在“莫名”流动,黄女士惊得一身是汗。
“五一”前的一个晚上,她看到自己平时用来网上支付的银行卡上一下子多出了6万多元。登录网银后发现,这些钱竟然是从自己另一张银行卡上转 过来的。得知家里人没有进行这笔操作之后,黄女士马上查询了自己账户内的所有操作。结果是,最近这些天她账户内的几张卡活动非常频繁,有时候是一张卡向另 一张卡转账几万元,几个小时之后再转回来,有时候是从一张卡上转一两元到另一张卡上,再仔细看,多笔转账最后都汇集到了那张可以用来网上支付的卡上。
而黄女士一家人这些天几乎没对银行卡进行过任何操作,此外,她还发现了两笔完全不知情的、总计大约为1万元的莫名消费。再想想这几天接二连三发生的怪事,黄女士一下子慌了。
就在这件事发生几天前,黄女士的手机上曾经收到一个来自“广东易联”公司的短信:通知她成功划走4699元,黄女士当时想大概是信用卡还 款,就没特别在意。后来的几天,她经常接到一个标明为“未知”的电话每隔十几秒就给她拨打一次电话,每天持续大概40分钟。而她现在发现,她账户的变动都 发生在手机收到过类似的骚扰之后。
紧接着,卡里又有近5000元被消费了,黄女士意识到自己的账户已经不安全了,于是报了警。
随着科技的发展,人们的生活越来越依赖身边的智能设备:花钱基本都刷卡,购物已经转战到了网络上,手机也能随时随地支付。
“虽然在网上买东西很方便,但是,我实在弄不明白钱到底先去了哪里,之后又怎么跑到别人的账户上,这个过程实在看不见,安全不安全我也不知道,大家都在用,我也就懒得想了。”黄女士说,警方至今还没立案。
当人们被高科技包裹得越来越严密的时候,自己的力量却变得越来越渺小,黄女士银行卡被盗刷的经历并非个案。接到黄女士的投诉,记者采访了几名高科技领域的专家,请他们为读者解读高科技带来的便捷及与之相对应的风险。
网银是如何保障安全的?
与黄女士有类似经历的人并不少。有媒体报道某杀毒软件公司公布了《2012年上半年安全报告》,报告显示网银盗号现象绝不是个别现象,仅上半年有近1亿人次网民遭钓鱼网站侵袭,其中30%来自银行钓鱼网站,在各类型钓鱼网站中占比最高。
那么网银到底安全不安全呢?
北京航空航天大学教授刘建伟曾参与中国银行与招商银行网银加密工作,他向本报记者详细溯述了网银的加密原理。
以工商银行的U盾为例,刘教授介绍U盾像一个U盘一样,里面存着数字证书。用银行的数字签名,即一个私钥,对自己的身份信息做了一个杂凑函数。把U盾插入电脑的时候,系统会自动对这个数字证书进行验证。
一般证书不怕被盗,因为数字证书里还有一个私钥。这把钥匙是为客户与服务器之间的通讯加密的。用户所有的信息,顺着网线从用户的笔记本里出来,都是加了密的。在网上,黑客很难截获信息。
再看看中国银行的网银令牌,它是使用一次性的登录口令作为安全屏障的,可以这么简单的理解:每个用户的口令都是一个随机数。令牌与服务器里 的随机数是同步的。用户插入属于自己的网银,两边口令一致,就可以正常使用。令牌的口令每分钟一变,这样一来,每次交易的口令是不同的。即使黑客在一次交 易时截获了口令,也没办法在下次交易时使用。
60秒一变的口令
也会遭遇59秒内下手的窃贼
“见招拆招”是江湖上的规则:只要有招式就一定会有漏洞。“我自己很少用网上银行,还经常劝我太太别用了。”刘建伟说,“越会开车的人胆越小,越是新手胆越大。我是学信息安全的,在信息安全的世界里,再安全的东西都会有漏洞,今天安全的事情明天就不安全了。”
“连着网,就有被攻入的可能。”在刘建伟看来,线上活动的每一步都暗藏着窃取个人信息的可能,总是免不了在某个环节疏忽了。
“钓鱼网站防不胜防,一旦登入,输入的密码与个人信息顷刻间为人所得。”刘建伟说,“Taobao.com与Tabao.com,外形极为相似,很难辨认出来。”
如今,有着数个各类网络账户的人并不少见,记住密码和用户名成了麻烦事。有人习惯将这些信息记录在文档里,保存在电脑中。殊不知,这看似方便的举动存在着很大隐患,一旦被远程控制,所有信息一览无余。
即使在这些环节小心行事,某些不自知的习惯还是会出现疏漏。
“有的人会一直开着资源共享或者服务端口。其实这使黑客能够登录,想干什么干什么,和使用他们自己的计算机一样。”刘建伟说:“免费下载的文件,看起来和普通的文档或者MP3没有什么两样,其实恶意的程序已经被写入其中了,只等着进入电脑兴风作浪。”
安全的攻防战中,永远是道高一尺,魔高一丈。
黑客不仅能攻破电脑,网银高超的加密技术也随时随地面临挑战。
大家都认为动态口令非常安全,但60秒一变的口令,也会遭遇59秒内下手的窃贼。“中国银行有一个客户丢了100多万,就是黑客在1分钟之内得手,截获了口令并使用了,把钱转走。”刘教授举例。
据刘教授介绍,MD5是世界操作系统的算法标准,曾经为微软等大公司都使用,但现在已经在世界范围内被替换了。因为山东大学王选民教授破解了它。
“算法不安全,就好像盖房子,砖头不结实,房子本身就危险了。”刘建伟说。
手机支付与电脑支付
原理是相同的
随着智能手机的普及,手机支付变成平常事,人们对它的安全性更加疑惑。
“手机和电脑的支付安全体制是一样的,都是通过数据包。无非一个是走网线,一个是走无线。”刘建伟解释说,“有的是通过给网站发请求,获得动态密码,输入密码完成交易。过程和加入Wifi一样简单。”
现在人们使用比较普遍的三星、联想、中兴、华为等品牌的手机,使用的都是安卓的操作系统。“它本质是一个开放的源代码,很容易被控制。下载的各种免费APP,很可能就包含着恶意代码。你加入一个来源不明的免费Wifi,个人信息可能就暴露了。”刘建伟说。
针对手机的安全防护,国家成立了重大专项,专门研究可信、安全的手机,能通过三项检测:完整性检测——使得病毒一侵入,会改动软件。该检测 可以使得软件复原到原来的状态;身份认证——使得手机只能被主人使用;可信检测——信用根芯片在手机启动时就给整个机器加上保护壳,病毒和木马都进不去 了。
在黄女士所遭遇的事件中,手机很可能为黑客挪钱起了辅助性的作用。
“手机号是和人名等信息相连的。不断地打电话,可能是犯罪分子在确定手机机主是不是信用卡持有者。”刘建伟推测。
技术壁垒、取证困难
此类案件很难破获
黄女士发现账户异常的当天夜里就去报了警,不过警方并没给立案,理由是:钱不是在当地划走的,不能异地报案。“警察告诉我,这类案子很难破,别对追回损失抱有希望。”黄女士说。
据知情人透露,很多这样的案件都会涉及多地,给办案增加了很大的难度,除了成本之外,还有一个难题是技术,不少公安干警对于高科技也是门外汉。
“现在破获信用卡盗刷主要是靠翻看ATM机录像,获得取钱的犯罪嫌疑人的外形特征。如果是网络划账,就难以找到了。”刘建伟解释说,“没有录像,只能追踪犯罪的IP地址。这在技术上可行,但很难实现。因为在公网上,特别是中国电信IP地址是动态的,很难被找到。”
另外,银行卡在使用时只要输入密码正确,就可以登录。很多人是先盗取了密码之后才进行操作的,因此,银行很难察觉谁是在盗取用户身份进行操作。
不过,“攻击者总会留下蛛丝马迹。”中国人民大学教授、电脑犯罪取证专家石文昌说。
“电脑或者手机的系统自有它的规律,非法入侵会改变原有的规律而留下痕迹。”石文昌说:“取证专家们的工作就是第一时间封存受害者的手机和电脑,从中提取出大量的数据,在这些数据中寻找出这些痕迹的存在,并由这些蛛丝马迹推理出完整的犯罪拼图。”
但是,在石文昌看来,为了弥补单个的个人账户万元左右的经济损失,投入大量的追踪成本,有些得不偿失。他自己通常应委托进行取证工作,客户多是一些受黑客攻击困扰,遭遇大额财产损失的公司或个人。这一系列工作“会按照签订的合同进行,对得出的结果负责”。
就在黄女士报案的第二天,她发现自己的支付宝的用户名以及与此相连的QQ号及手机号都已经换成广西某地一个人的了。
“如果在现实社会中,我被一个街边飞贼偷了,这个飞贼很可能被抓到并受到制裁,现在,这种高科技的犯罪,他们可以轻轻松松地划走我的钱,我却连报案都很难,这高科技太可怕了!”黄女士说。
页:
[1]