黑客新手法窃取银行存款-警惕 (黑客方法)

教程大全 2025-07-20 04:24:50 浏览次

专门开发网站网关安全产品的Finjan近日揭露有黑客窃取银行账户存款的新手法，这帮黑客在22天内总计自不同使用者账户中窃取了30万欧元。

Finjan指出，黑客先在被骇的网站或是伪造网站上使用LuckySpoilt恶意套件来感染造访网站的使用者，之后便在使用者计算机上安装一银行木马程序，该木马程序可接收来自黑客命令暨控制服务器的指令，这些指令包括自特定账户把金额转到钱骡(money mule)的账户中，此外，该木马程序也会伪装银行的声明来遮掩实际的交易金额，以欺瞒使用者及银行。

这也是近来新兴的网络犯罪手法。钱骡所扮演的是中间人的角色，因为许多企业会拒绝将现金直接转到具有高度诈欺风险的国家，再加上为了躲避查缉，黑客会在犯罪国家安置一收取金钱的钱骡，钱骡再把钱转交给黑客;有许多的钱骡并不知道他们正在为虎作伥，以为自己是为合法的公司工作。

Finjan发现，黑客使用的复杂恶意工具除了可透过网络窃取金钱外，也可躲避银行所使用的反诈欺系统的侦测;而且不论是伪造的网站或是合法的网站都会成为黑客感染使用者的途径;透过钱骡除了能取得金钱外也能闪避追踪;此外，木马程序所接收的指令包括自个别账户窃取的金额标准。

Finjan CTO Yuval Ben-Itzhak表示，银行账户一直是黑客的目标，为了躲避侦测，黑客不断改善窃取金钱及避免银行与使用者追纵的技术，结合木马及钱骡的复杂手法可降低被追查的风险，而且特定金额标准的技术更让他们得以成功地逃过银行所部署的反诈欺系统。

有U盾网银还能被盗？

楼主您好$　U盾，即我行2003年推出并获得国家专利的客户证书USBkey，是我行为您提供的办理网上银行业务的高级别安全工具。它外形酷似U盘，像一面盾牌，时刻保护着您的网上银行资金安全。从技术角度看，U盾是用于网上银行电子签名和数字认证的工具，它内置微型智能卡处理器，采用1024位非对称密钥算法对网上数据进行加密、解密和数字签名，确保网上交易的保密性、真实性、完整性和不可否认性。拥有U盾，您办理网上银行业务时，不用再担心黑客、假网站、木马病毒等各种风险，U盾可以保障您的网上银行资金安全。使用U盾是您最好的选择，只要您的登录卡号、登录密码、U盾和U盾密码不同时泄露给一个人，您就可以放心安全使用网上银行。我行网上银行采用ActiveX控件输入密码方式，个人网银客户首次通过控件登录时，登录页面会有下载控件的过程，客户只需要下载一次控件，以后再访问登录页面，控件直接在本机被激活而不需要再次下载。 ActiveX控件利用Windows的底层函数在黑客程序之前截取键盘事件，这样黑客程序就无法获得用户的密码，从而大大提高了网银使用的安全性。此外，我行网上银行系统有多层安全保障，包括网上银行技术安全和业务安全。他们共同构成了一个完备的网上银行安全体系，能够有效防范黑客的非法入侵，保护客户资金的安全。 a、技术安全：网上银行的技术安全包括网络安全和交易安全两个方面。网络安全确保我行网站的安全可靠，交易安全确保客户通过网上银行进行交易的资金安全。 b、业务安全：我行有健全的内部柜员操作管理机制，确保网上银行各项业务的安全开展。最后您还要从自身保管好您的个人信息。

钓鱼箱子木马是什么？

就是网页挂马钓鱼网站通常是指伪装成银行及电子商务等网站，主要危害是窃取用户提交的银行帐号、密码等私密信息。网络钓鱼是通过大量发送声称来自于银行或其他知名机构的欺骗性垃圾邮件，意图引诱收信人给出敏感信息（如用户名、口令、帐号 ID 、 ATM PIN 码或信用卡详细信息）的一种攻击方式。最典型的网络钓鱼攻击将收信人引诱到一个通过精心设计与目标组织的网站非常相似的钓鱼网站上，并获取收信人在此网站上输入的个人敏感信息，通常这个攻击过程不会让受害者警觉。这些个人信息对黑客们具有非常大的吸引力，因为这些信息使得他们可以假冒受害者进行欺诈性金融交易，从而获得经济利益。受害者经常遭受显著的经济损失或全部个人信息被窃取并用于犯罪的目的。这篇“了解你的敌人”文章旨在基于德国蜜网项目组和英国蜜网项目组所搜集到的攻击数据给出网络钓鱼攻击的一些实际案例分析。这篇文章关注于由蜜网项目组在实际环境中发现的真实存在的网络钓鱼攻击案例，但不会覆盖所有可能存在的网络钓鱼攻击方法和技术。攻击者也在不断地进行技术创新和发展，目前也应该有（本文未提及的）新的网络钓鱼技术已经在开发中，甚至使用中。在给出一个简要的引言和背景介绍后，我们将回顾钓鱼者实际使用的技术和工具，给出使用蜜网技术捕获真实世界中的网络钓鱼攻击的三个实验型研究的案例。这些攻击案例将详细地进行描述，包括系统入侵、钓鱼网站架设、消息传播和数据收集等阶段。随后，将对其中普遍应用的技术及网络钓鱼、垃圾邮件和僵尸网络等技术进行融合的趋势给出分析。钓鱼者使用恶意软件进行自动化地 Email 地址收集和垃圾邮件发送的案例也将被回顾，同时我们也将展示我们在网络扫描技术及被攻陷主机如何被用于传播钓鱼邮件和其他垃圾邮件上的发现。最后，我们对本文给出结论，包括我们在最近 6 个月内获得的经验，以及我们建议的进一步研究的客体。这篇文章包括了丰富的支持性信息，提供了包含特定的网络钓鱼攻击案例更详细数据的链接。最后声明一下，在研究过程中，我们没有收集任何机密性的个人数据。在一些案例中，我们与被涉及网络钓鱼攻击的组织进行了直接联系，或者将这些攻击相关的数据转交给当地的应急响应组织。引言欺骗别人给出口令或其他敏感信息的方法在黑客界已经有一个悠久的历史。传统上，这种行为一般以社交工程的方式进行。在二十世纪九十年代，随着互联网所连接的主机系统和用户量的飞速增长，攻击者开始将这个过程自动化，从而攻击数量巨大的互联网用户群体。最早系统性地对这种攻击行为进行的研究工作在 1998 年由 Gordon 和 Chess 发表。（ Sarah Gordon, David M. Chess: Where Theres Smoke, Theres Mirrors: The Truth about Trojan Horses on the Internet , presented at the Virus Bulletin Conference in Munich, Germany, October 1998 ） Gordon 和 Chess 研究针对 AOL （美国在线）的恶意软件，但实际上他们面对的是网络钓鱼的企图而不是他们所期望的特洛伊木马攻击。网络钓鱼 (Phishing) 这个词 (password harvesting fishing) 描述了通过欺骗手段获取敏感个人信息如口令、信用卡详细信息等的攻击方式，而欺骗手段一般是假冒成确实需要这些信息的可信方。