论文部分内容阅读
“所有问题都在于钱。黑客们正大肆敛财。”应引起有关部门的警惕
2007新年伊始,一家国际黑客组织利用叫作“pharming”的新型病毒攻击了世界65家金融企业和网上交易企业,窃取个人账户信息。
这轮攻击于 2月19日在澳大利亚首次启动,此后迅速在多国扩散,平均每天就将1000名以上电脑用户引入伪装网站,乘机窃取网络银行用户名和密码等信息。英国的巴克莱银行、苏格兰银行,美国的捷运信用卡、世界最大网络拍卖企业eBay等很多著名企业都在攻击中相继受损。韩国花旗银行网上信用卡结算代办系统也遭到黑客攻击,造成20名顾客账户的5000余万韩元(1000韩元约合7元人民币)被自动划转。
在相当程度上,现代通信技术已经将世界变成一个信息“小村落”,与此同时,国际黑客的破坏力也在大幅度上升。
近几年来,世界多国的银行和企业遭遇国际黑客攻击,并蒙受巨额经济损失。
黑客敛财
微软韩国的首席软件设计师(CSA)赵元荣理事称:“最近像俄罗斯黑手党一样,资金和组织力强大的组织雇佣黑客,将金融公司作为目标,组织性地进行攻击的事例增多。”
有研究人员指出,为了获得金钱利益,黑客组织会发展成更具有纪律性和尖端性的组织。预计,以后通过电子邮件或MSN、入侵网站等手段盗取个人信息的智能手法会继续出现。
另据英国媒体报道,国际黑客打算整合世界各地的力量在2007年庞大的互联网上开辟新的战线,打一场“世界大战”。国际黑客们此次大战的攻击目标主要有ICQ、MSN等即时通讯工具,接入互联网的手机,社会公益网站,新版IE浏览器以及新推出的VISTA操作系统。
今天,人们对待垃圾邮件已经十分小心,不会轻易打开陌生人寄来的邮件。为此黑客们不断想出新的方法进入计算机,向用户发送假的数据,迷惑用户告知其银行卡密码或者公司的秘密。趋势科技公司(TrendMicro)的戴夫-兰德是专门研究计算机安全的专家,他说:“所有问题都在于钱。黑客们正大肆敛财。”
黑客从网上银行偷钱的行为大致可以分为两种:一是窃取个人用户的资料,然后盗走别人信用卡等账户里的钱;还有一种则想方设法弄到银行和企业级大客户网上金融往来的秘密资料,再乔装打扮,一举骗走大笔资金。
趋势科技公司的马卡菲称,为了能进入别人的计算机,黑客们正仔细研究MySpace类型的网站,在该网站用户们经常交换个人信息。与此同时联入互联网的手机和新一代便携式电脑也将成为黑客们攻击的目标。黑客们正努力绕过这些设备的安全系统窃取电子信件,重要文件和合同。趋势科技公司认为,微软公司在今年推出了新版的InternetExplorer浏览器和VISTA操作系统,它们已经吸引了黑客们的目光,也将成为攻击对象。
据俄罗斯塔斯社报道,2006年俄罗斯黑客大显神威,从银行账户上偷走5000万欧元。2006年12月12日,俄罗斯国家互联网管理中心打击国际犯罪处副处长弗拉吉米尔-巴索夫在谈到黑客进入银行系统窃取用户资金时称,俄罗斯黑客盯上了外国公民的银行账户,他们从这些账户窃取钱财后通过中间人将这些钱财转入俄罗斯。“黑客们偷窃的数额在2006年大幅度上升,据估计比上年上升50%,达到5000万欧元。”
智能犯罪
2006年以来,黑客团伙与杀毒软件对抗的趋势越来越明显,已经从刚开始的“偷偷摸摸”转变成明目张胆的技术对抗。同时,黑客团队会利用程序自动给老病毒披上“马甲”,使得杀毒软件无法识别,从而“批量生产”出大量恶性病毒,这给一些技术力量薄弱的反病毒公司造成了沉重的压力。
而且当前的黑客为了显示自己的技术,专门破解机关或企业网站。
比起仅靠简单的账号、密码来认证的个人账户和信用卡,企业级客户和银行的网上业务往来,其安全措施要复杂得多。以密码为例,个人账户的密码一般是6位或8位,而企业级客户的加密密码,随着网上安全的需要,从过去的16位、32位逐步提高到了64位,现在绝大多数都是128位了。要通过计算来破解,从黑客的角度说,除非组织很大,有很多台电脑一起来计算,还得加上足够的经验和运气,否则是极难成功的。即便如此,出于高度安全的考虑,银行和大客户的网上交易还普遍采用了多重认证制度,比如在一次交易结束时,电脑上会给出另外一组数字,约定成双方下一次交易的新密码。
因此,攻击企业和金融机构的一般都是大黑客组织。黑客从网上攻击银行窃取巨资是一种高技术犯罪,黑客只有“一枪命中”才能成功,而且一旦得手,他们很长时间内都不会再干。通常的实施过程是这样的:在准确的时间,先用一个特别的病毒程序攻击银行网站,让它停掉,几乎同时,把一个假冒的银行网站放到网上,结果大客户进入的其实是黑客的假网上银行,这样黑客就可以骗得大客户的重要资料,并且迅速利用这些资料进行网上交易,让巨资流入黑客在其他银行的户头。
这种有分工、有计划、国际化的黑客犯罪组织什么手段都用,包括收买银行内部工作人员或者索性派人直接往银行内部渗透。要用黑客技术在网上刺探机密,特别是实施盗钱行动,必须对银行内情有所了解,银行里有内应要好办很多。
必须指出的是,盗取信息后使网页重新回到真网站等黑客手段变得更加高明。
也是在前不久,另一家国际黑客组织盗用澳大利亚一家杂志的电子邮箱,向很多人发送了“澳大利亚总理约翰·霍华德由于心脏麻痹生命垂危”等假消息。一旦打开邮件,用户电脑就会感染上“特洛伊木马”病毒。此后如果用户访问金融公司的网站,将在不知不觉间转到精密伪装的假金融公司网站,从而使用户名(ID)和密码等信息被黑客盗走。
尽管最近几年来,国际社会不断加强对盗窃和转卖他人信用卡或银行账户信息等活动的打击力度,但各类与此相关的犯罪活动依然有增无减。随着互联网技术的发展,现在甚至出现了一个颇为巨大的网上信用卡黑市,而且日益呈现出“供销两旺”的态势。除了专门负责“牵线搭桥”的网上中间人外,有些“大户”甚至还派出售后服务人员在网上出没。《纽约时报》记者在调查后发现,只要花上100美元,就能从某些网站上买到包括姓名、住址、电话等等全套重要信息的“真”信用卡号码。
据有关报道,在英国,每天至少有400个信用卡号码被售出,同时还包括其他个人信息,如出生日期和母亲的婚前名等。
在一些互联网聊天室内,一个信用卡号码值1美元,而带三位验证码的信用卡卖5美元。附加的安全信息可以再多卖10美元,购买一个有工作人士的身份号码需多花100英磅。
何以遏制
如今的网络越来越像一片混沌的原始状态,没有一个公共保护者维护秩序,防毒软件都是看家护院,自我保护。互联网上的无政府状态正是国际黑客大盗猖獗的主要原因,网络秩序的建立将是一个漫长的过程,与黑客大盗们的斗争也将是漫长的过程。
据有关政府部门推算,目前仅美国,每年就有至少大约1000万人的银行或者信用资料被他人非法窃取。此举不但给消费者造成了超过50亿美元的经济损失,更让众多公司蒙受的损失高达480亿美元以上。
一般人在购买了别人的信用卡号码后,往往要立刻上网购物,然后再把自己买到的东西通过网上拍卖出售,从而通过类似“洗钱”的效果为自己赚取看上去无懈可击的昧心收入。其他的所谓高手则能通过掌握的资料,造出与真卡一样的假卡去商场消费。此外,犯罪分子甚至能用假卡去银行自动柜员机器上提款。
网络安全人士说,从理论上讲,网上的小偷也可以通过入侵银行数据库来获取个人账户资料,但一般而言,银行的网上安全体系仅凭单个黑客的能力是很难突破的,而蓄意对银行进行网上盗窃的黑客组织也不会为个人账户里的小钱而大动干戈。专业人士告诉笔者,从技术较量的角度说,要在网上追查这种干小偷勾当的黑客并不难,问题是无论国内国外,绝大多数银行都不愿意让警方介入这类案件,银行方面担心这样的案件一旦被媒体公开,反而会让大家对银行的网上安全失去信任,影响银行的声誉和生意。但是没有警方,就不能使用专门手段来把这些网上小偷收入法网,依法惩罚。最简单的例子是,网上的小偷黑客通常是异地作案的,不是警察,谁能在外地抓人呢?
从另一个角度说,客户也需要提高自己的网络金融安全意识,比如,尽量不要在网吧进行网上交易或者使用自己的银行账户,在专业人士看来,这就像在公共汽车上把钱包放在裤子的后兜里一样不安全。一名因犯罪而被捕的黑客在交代其罪行时提到了网上银行用户必须注意的两点:“一是经常给系统打补丁,微软的系统几乎每天都在出现漏洞;二是不要上非法网站,因为很多病毒都潜伏在那儿。”
2007新年伊始,一家国际黑客组织利用叫作“pharming”的新型病毒攻击了世界65家金融企业和网上交易企业,窃取个人账户信息。
这轮攻击于 2月19日在澳大利亚首次启动,此后迅速在多国扩散,平均每天就将1000名以上电脑用户引入伪装网站,乘机窃取网络银行用户名和密码等信息。英国的巴克莱银行、苏格兰银行,美国的捷运信用卡、世界最大网络拍卖企业eBay等很多著名企业都在攻击中相继受损。韩国花旗银行网上信用卡结算代办系统也遭到黑客攻击,造成20名顾客账户的5000余万韩元(1000韩元约合7元人民币)被自动划转。
在相当程度上,现代通信技术已经将世界变成一个信息“小村落”,与此同时,国际黑客的破坏力也在大幅度上升。
近几年来,世界多国的银行和企业遭遇国际黑客攻击,并蒙受巨额经济损失。
黑客敛财
微软韩国的首席软件设计师(CSA)赵元荣理事称:“最近像俄罗斯黑手党一样,资金和组织力强大的组织雇佣黑客,将金融公司作为目标,组织性地进行攻击的事例增多。”
有研究人员指出,为了获得金钱利益,黑客组织会发展成更具有纪律性和尖端性的组织。预计,以后通过电子邮件或MSN、入侵网站等手段盗取个人信息的智能手法会继续出现。
另据英国媒体报道,国际黑客打算整合世界各地的力量在2007年庞大的互联网上开辟新的战线,打一场“世界大战”。国际黑客们此次大战的攻击目标主要有ICQ、MSN等即时通讯工具,接入互联网的手机,社会公益网站,新版IE浏览器以及新推出的VISTA操作系统。
今天,人们对待垃圾邮件已经十分小心,不会轻易打开陌生人寄来的邮件。为此黑客们不断想出新的方法进入计算机,向用户发送假的数据,迷惑用户告知其银行卡密码或者公司的秘密。趋势科技公司(TrendMicro)的戴夫-兰德是专门研究计算机安全的专家,他说:“所有问题都在于钱。黑客们正大肆敛财。”
黑客从网上银行偷钱的行为大致可以分为两种:一是窃取个人用户的资料,然后盗走别人信用卡等账户里的钱;还有一种则想方设法弄到银行和企业级大客户网上金融往来的秘密资料,再乔装打扮,一举骗走大笔资金。
趋势科技公司的马卡菲称,为了能进入别人的计算机,黑客们正仔细研究MySpace类型的网站,在该网站用户们经常交换个人信息。与此同时联入互联网的手机和新一代便携式电脑也将成为黑客们攻击的目标。黑客们正努力绕过这些设备的安全系统窃取电子信件,重要文件和合同。趋势科技公司认为,微软公司在今年推出了新版的InternetExplorer浏览器和VISTA操作系统,它们已经吸引了黑客们的目光,也将成为攻击对象。
据俄罗斯塔斯社报道,2006年俄罗斯黑客大显神威,从银行账户上偷走5000万欧元。2006年12月12日,俄罗斯国家互联网管理中心打击国际犯罪处副处长弗拉吉米尔-巴索夫在谈到黑客进入银行系统窃取用户资金时称,俄罗斯黑客盯上了外国公民的银行账户,他们从这些账户窃取钱财后通过中间人将这些钱财转入俄罗斯。“黑客们偷窃的数额在2006年大幅度上升,据估计比上年上升50%,达到5000万欧元。”
智能犯罪
2006年以来,黑客团伙与杀毒软件对抗的趋势越来越明显,已经从刚开始的“偷偷摸摸”转变成明目张胆的技术对抗。同时,黑客团队会利用程序自动给老病毒披上“马甲”,使得杀毒软件无法识别,从而“批量生产”出大量恶性病毒,这给一些技术力量薄弱的反病毒公司造成了沉重的压力。
而且当前的黑客为了显示自己的技术,专门破解机关或企业网站。
比起仅靠简单的账号、密码来认证的个人账户和信用卡,企业级客户和银行的网上业务往来,其安全措施要复杂得多。以密码为例,个人账户的密码一般是6位或8位,而企业级客户的加密密码,随着网上安全的需要,从过去的16位、32位逐步提高到了64位,现在绝大多数都是128位了。要通过计算来破解,从黑客的角度说,除非组织很大,有很多台电脑一起来计算,还得加上足够的经验和运气,否则是极难成功的。即便如此,出于高度安全的考虑,银行和大客户的网上交易还普遍采用了多重认证制度,比如在一次交易结束时,电脑上会给出另外一组数字,约定成双方下一次交易的新密码。
因此,攻击企业和金融机构的一般都是大黑客组织。黑客从网上攻击银行窃取巨资是一种高技术犯罪,黑客只有“一枪命中”才能成功,而且一旦得手,他们很长时间内都不会再干。通常的实施过程是这样的:在准确的时间,先用一个特别的病毒程序攻击银行网站,让它停掉,几乎同时,把一个假冒的银行网站放到网上,结果大客户进入的其实是黑客的假网上银行,这样黑客就可以骗得大客户的重要资料,并且迅速利用这些资料进行网上交易,让巨资流入黑客在其他银行的户头。
这种有分工、有计划、国际化的黑客犯罪组织什么手段都用,包括收买银行内部工作人员或者索性派人直接往银行内部渗透。要用黑客技术在网上刺探机密,特别是实施盗钱行动,必须对银行内情有所了解,银行里有内应要好办很多。
必须指出的是,盗取信息后使网页重新回到真网站等黑客手段变得更加高明。
也是在前不久,另一家国际黑客组织盗用澳大利亚一家杂志的电子邮箱,向很多人发送了“澳大利亚总理约翰·霍华德由于心脏麻痹生命垂危”等假消息。一旦打开邮件,用户电脑就会感染上“特洛伊木马”病毒。此后如果用户访问金融公司的网站,将在不知不觉间转到精密伪装的假金融公司网站,从而使用户名(ID)和密码等信息被黑客盗走。
尽管最近几年来,国际社会不断加强对盗窃和转卖他人信用卡或银行账户信息等活动的打击力度,但各类与此相关的犯罪活动依然有增无减。随着互联网技术的发展,现在甚至出现了一个颇为巨大的网上信用卡黑市,而且日益呈现出“供销两旺”的态势。除了专门负责“牵线搭桥”的网上中间人外,有些“大户”甚至还派出售后服务人员在网上出没。《纽约时报》记者在调查后发现,只要花上100美元,就能从某些网站上买到包括姓名、住址、电话等等全套重要信息的“真”信用卡号码。
据有关报道,在英国,每天至少有400个信用卡号码被售出,同时还包括其他个人信息,如出生日期和母亲的婚前名等。
在一些互联网聊天室内,一个信用卡号码值1美元,而带三位验证码的信用卡卖5美元。附加的安全信息可以再多卖10美元,购买一个有工作人士的身份号码需多花100英磅。
何以遏制
如今的网络越来越像一片混沌的原始状态,没有一个公共保护者维护秩序,防毒软件都是看家护院,自我保护。互联网上的无政府状态正是国际黑客大盗猖獗的主要原因,网络秩序的建立将是一个漫长的过程,与黑客大盗们的斗争也将是漫长的过程。
据有关政府部门推算,目前仅美国,每年就有至少大约1000万人的银行或者信用资料被他人非法窃取。此举不但给消费者造成了超过50亿美元的经济损失,更让众多公司蒙受的损失高达480亿美元以上。
一般人在购买了别人的信用卡号码后,往往要立刻上网购物,然后再把自己买到的东西通过网上拍卖出售,从而通过类似“洗钱”的效果为自己赚取看上去无懈可击的昧心收入。其他的所谓高手则能通过掌握的资料,造出与真卡一样的假卡去商场消费。此外,犯罪分子甚至能用假卡去银行自动柜员机器上提款。
网络安全人士说,从理论上讲,网上的小偷也可以通过入侵银行数据库来获取个人账户资料,但一般而言,银行的网上安全体系仅凭单个黑客的能力是很难突破的,而蓄意对银行进行网上盗窃的黑客组织也不会为个人账户里的小钱而大动干戈。专业人士告诉笔者,从技术较量的角度说,要在网上追查这种干小偷勾当的黑客并不难,问题是无论国内国外,绝大多数银行都不愿意让警方介入这类案件,银行方面担心这样的案件一旦被媒体公开,反而会让大家对银行的网上安全失去信任,影响银行的声誉和生意。但是没有警方,就不能使用专门手段来把这些网上小偷收入法网,依法惩罚。最简单的例子是,网上的小偷黑客通常是异地作案的,不是警察,谁能在外地抓人呢?
从另一个角度说,客户也需要提高自己的网络金融安全意识,比如,尽量不要在网吧进行网上交易或者使用自己的银行账户,在专业人士看来,这就像在公共汽车上把钱包放在裤子的后兜里一样不安全。一名因犯罪而被捕的黑客在交代其罪行时提到了网上银行用户必须注意的两点:“一是经常给系统打补丁,微软的系统几乎每天都在出现漏洞;二是不要上非法网站,因为很多病毒都潜伏在那儿。”