钓鱼病毒
王某为某高校在校大学生,他于2011年3月7日20点左右在寝室登录淘宝网站,搜索到了一家二手笔记本电脑交易的店铺,并通过阿里旺旺与对方取得了联系。对方主动发送了一个压缩文件包,声称该压缩包里面有很多的笔记本图片。受害者接受并打开了该压缩包,并以600元的价格成交。受害者第一次通过网上银行交易支付600元后显示没有交易成功,对方让王某再次支付,于是受害者王某又通过网上银行支付,但是还是支付不成功。受害人王某感觉比较奇怪,通过网上银行账户查询发现两次交易都已经成功,账户内已经有1200元被转到上海某网络科技公司。后来王某企图再次联系卖家,但是已经无人应答。
案例分析:钓鱼病毒这类的案例中,犯罪分子通常引诱受害者打开自己提供的压缩包或者执行文件,从而将木马病毒种到受害者的电脑中。木马病毒则负责监控受害者网上银行交易操作,通过替换交易请求、记录并发送用户账号信息等手段达到获利的目的。卖家的产品图片和资料都应发布在淘宝的网站上,用户不应私下接收,还可能因为购买的产品与在淘宝上发布的不一致导致纠纷。目前有的银行采用二代USBKey对于网上银行交易操作产生数字签名时,已经可以向用户显示相关交易请求及记录,因此在一定程度上规避了上述钓鱼病毒通过替换交易请求等手段产生的欺诈。
虚假网站
2007年9月21日,北京市公安局东城分局破获了一个特大网上银行诈骗案,在湖北省某酒店抓获犯罪嫌疑人谌某。犯罪嫌疑人谌某于2006年10月至2007年8月间,利用虚假网上银行盗取他人网上银行信息,先后窃取了6名受害者网上银行账户资金共计人民币30余万元,并通过网上购物再打折出售的方式套现。
案例分析:虚假网站这类案例中,犯罪者往往模仿正常的网上银行交易网站,诱导受害者在他们伪造的网页上进行网上银行操作,从而窃取受害者网上银行的账号信息,达到控制受害者网上银行账户的目的,从而转账套现。该类犯罪分子和虚假邮件链接这类案件有较为密切的联系。虚假网站其实就是这几年的“钓鱼网站”,对于上面案件中那种窃取大额的账户资金目前已经很少发生。通常的网银账户操作都使用了双因素认证身份方式,单纯的用户名和口令已经无法进行网银的账户操作了。目前使用动态口令卡的支付模式,即便是允许的额度不大,还是存在犯罪分子通过“钓鱼网站”进行欺诈的风险。对于“钓鱼网站”的防范,除了相关监管机构对网站采取监测及关闭等手段外,最主要是银行对客户的教育。目前的网上银行站点基本都使用了站点数字证书,许多银行还使用了EV证书,用户登录网银时使用IE7以上的浏览器地址栏会变成绿色。“钓鱼网站”很难做到这点,即便“钓鱼网站”也申请到了EV证书,那么会存有机构申请的资料,公安机关在破获此类案件时会容易很多。因此银行对客户的教育是规避“钓鱼”网站的较好的办法。
木马病毒
2007年3月10日,蔡先生发现自己银证通账户的两个账户共计16万余元被盗窃。后来上海警方侦查发现,2007年1月,犯罪嫌疑人白某攻击了一些网站,植入了网页木马。受害人蔡某在上网浏览了被鲍某攻击的网页后,其电脑被自动植入了灰鸽子黑客程序。后来犯罪嫌疑人白某使用灰鸽子木马程序远程控制被害人的电脑,窃取了其网上银行的账号、密码、电子证书。接着犯罪嫌疑人白某用虚假身份证开户,将网银账户中的钱款转入自己新开的账户中窃走。
案例分析:这类木马病毒的案例与钓鱼病毒的案例比较接近,不同之处在于钓鱼病毒的受害者往往是在诱骗下主动打开危险文件的,而木马病毒的受害者是在不知情的情况下被安装木马病毒的。因此用户访问网站时要慎重,避免登录一些不正规网站或者受到跨站攻击的网站(这类网站如果是被动攻击一般情况下活跃度较低)。但是这两类案例的本质是相同的,都是通过种入木马病毒,窃取受害者的账号信息或者伪造交易请求中的信息,从而达到获利的目的。本案例中用户被窃取的电子证书是以文件的方式存放于电脑上,并且未设置密码保护,目前文件证书的使用越来越少,大部分电子证书都由USBKey进行保护,已经降低了此种木马病毒带来的风险。
网上银行业务风险
2002年10月,洪某在温州永嘉的一家银行办理了借记卡。2005年2月,洪某发现借记卡被盗取了10.25万元,并向当地警方报案。警方调查后发现,2004年11月22日,犯罪嫌疑人假冒洪某的名义用假身份证在该行温州分行开通了网上银行业务,并获取了网上银行的客户证书和密码。接着犯罪嫌疑人在2005年2月2日通过网上银行将孔某借记卡内的资金分两次转出。
案例分析:这类网上银行系统本身缺陷的案例和以上其他三种案例的相比较为独特。案例中的犯罪分子利用了2005年时该行网上银行开户不需要对应借记卡的这个漏洞,伪造了受害者的个人信息,从而获得了受害者借记卡账户的网上银行的访问权利。这类网上银行系统本身缺陷的案例比较特殊,难以有较为统一的表现。从根本上来说,犯罪分子都是找到了网上银行系统的本身缺陷进行欺诈活动。目前虽然过去的很多业务漏洞都已经不存在了,但随着很多新兴业务(如手机银行、快捷支付等)的开展,必将带来未知的风险。这就要求网上银行的管理者要重视风险管理,在设计新业务的同时从业务安全的角度考虑一些防范措施。
