测试前后连续卡号破译密码 网上银行有高手作案

lenovo∽zone

新华网10月1日专电当前，随着电子商务的发展，很多人在购物时喜欢采用网上支付，网上银行也成为上网族的新宠。专家提醒说，现有网络环境很难杜绝安全隐患，网上银行并不绝对安全。



据警方介绍，在传统银行业务中，密码输入一定次数仍然错误就会被停止服务，但在网上银行中，企图非法窃取密码的作案者如果采用可以改变登录ID的方法，即便登录失败，网站也不会将密码视为无效，这也成为滋生高科技犯罪的温床。

另外，网络银行窃取者通常会采用一些方法获取用户银行卡号。先用假身份证办一张真的银行卡，然后在网上银行前后测试连续的前后卡号，破译其密码，通过网络进行电子划款。

据介绍，现有网络搜索亦为犯罪分子的不良动机提供了便利。有少数人通过Google、百度等搜索银行卡号，然后再通过Email等方式与其交友，并发小游戏、小程序麻痹对方，在对方机器内植入木马，获取其日常使用密码及来往文字记录，再分析其银行密码。在网吧使用网上银行服务时尤其要注意“木马”程序。

警方提醒，用户只要平时注意多加防范，还是可以轻松享受到网上银行的便捷服务。首先，个人网络信息不要太真实。多数人在网站登记时会填写真实信息，包括姓名、生日等个人标识。但多数网站的注册信息数据库通常会掌握在少数系统管理员手中，有的管理人员离职后，还带走用户数据库。当用户的网络密码与银行密码一致时，对方可以直接在网上窃取用户钱财。当然，在使用Email、QQ、MSN等信息载体时，用户也会留下部分痕迹，如与家人在Email中留有银行卡号与密码时，很容易被免费邮箱管理员检索到，而此时用户并不知晓自己的一举一动已在别人的窥视下，只有任其宰割。

另外，要注意银行网址的真实性。除用软件窃取密码外，“冒充站点”也是网上银行一个非常大的安全隐患。犯罪分子首先向客户发送一个“本行网站正在进行促销活动”等内容的虚假邮件，然后诱骗客户访问虚假站点。客户在不了解情况时就会向虚假站点发送ID和密码。网上支付卡号与密码泄露后，犯罪分子就有了进行非法资金转移的可能

白铅笔

我真的谢谢你这么热心。

yyprick

原文由 lenovo∽zone 于 2005-10-03 16:27 发表:
新华网10月1日专电当前，随着电子商务的发展，很多人在购物时喜欢采用网上支付，网上银行也成为上网族的新宠。专家提醒说，现有网络环境很难杜绝安全隐患，网上银行并不绝对安全。



据警方介绍，在传统银行业务中，密码输入一定次数仍然错误就会被停止服务，但在网上银行中，企图非法窃取密码的作案者如果采用可以改变登录ID的方法，即便登录失败，网站也不会将密码视为无效，这也成为滋生高科技犯罪的温床。

扯，现在国内的网银很多都是都是通过帐号来登录的。什么叫改变ID来登录？就算是用ID来登录，ID一变就意味着用户也变了，这样能得到密码？

另外，网络银行窃取者通常会采用一些方法获取用户银行卡号。先用假身份证办一张真的银行卡，然后在网上银行前后测试连续的前后卡号，破译其密码，通过网络进行电子划款。

这个更扯，卡号和密码有必然的联系吗？如果有，那么早就轮不到你外边的人来了，银行内部说不定早就有人做了。再者网银卡号如同身份证号一样有校验位，都是能过一定的算法得出的，除非你知道算法，不然你不可能知道校验位的，前后卡号知道，你校验位也不一定能算出来。至于说用假身份证，前不久出过案子，就是用假身份来去挂失和报密码忘了，然后办出一张新卡来，再用新卡做案，这种案子到是有的，不过下一步中国采用电子身份证，银行对于身份证的识别上也可能采用和警方联网识别的方式，这种假身份的方法很快就无效了。再者现在各银行都有办法防止你能过网银对外转帐的办法的，例如工行，如果在没有申请个人客户证书的情况下，最多每天的转帐数目是不超过2K的，但如果你申请了个人客户证书，就算是转1分钱也要有这个证书，而这个证书就是一块硬件加密卡，就算是你有密码，没有这个卡也不可能转帐的。

据介绍，现有网络搜索亦为犯罪分子的不良动机提供了便利。有少数人通过Google、百度等搜索银行卡号，然后再通过Email等方式与其交友，并发小游戏、小程序麻痹对方，在对方机器内植入木马，获取其日常使用密码及来往文字记录，再分析其银行密码。在网吧使用网上银行服务时尤其要注意“木马”程序。

至于说这个，不能说是网银的安全问题，而是用户自己的安全意识问题。其它银行我不知道，工行现在有专门的办法是可以防止记录键盘输入时被木马记录的。不过其它上的密码与网银密码一致，而被记录这就没办法了，但在密码设置的时候一般银行方都有提示密码设置时不要和其它一致的。在密码的保密上，这就是用户的安全意识问题了，也不是银行单方能解决的。

警方提醒，用户只要平时注意多加防范，还是可以轻松享受到网上银行的便捷服务。首先，个人网络信息不要太真实。多数人在网站登记时会填写真实信息，包括姓名、生日等个人标识。但多数网站的注册信息数据库通常会掌握在少数系统管理员手中，有的管理人员离职后，还带走用户数据库。当用户的网络密码与银行密码一致时，对方可以直接在网上窃取用户钱财。当然，在使用Email、QQ、MSN等信息载体时，用户也会留下部分痕迹，如与家人在Email中留有银行卡号与密码时，很容易被免费邮箱管理员检索到，而此时用户并不知晓自己的一举一动已在别人的窥视下，只有任其宰割。

另外，要注意银行网址的真实性。除用软件窃取密码外，“冒充站点”也是网上银行一个非常大的安全隐患。犯罪分子首先向客户发送一个“本行网站正在进行促销活动”等内容的虚假邮件，然后诱骗客户访问虚假站点。客户在不了解情况时就会向虚假站点发送ID和密码。网上支付卡号与密码泄露后，犯罪分子就有了进行非法资金转移的可能

同样这个也是用户自己的安全意识问题了。网银的站假冒的到是有过，所以现在很多银行的页子上都说明了哪些网站是与银行合作开通了网上支付的，在这些网站上支付是安全的，但其它的网站上，肯定就是假冒的。

总的说起来，绝对安全的东西是没有的，但现在至少网银可以认为是安全的，每天用网银交易的人也不少，出问题的还是少数，从概率上来说，是小概率事件，而在这些小概率事件中，更多的是因为用户安全意识上的问题，前不久我遇到过一个案子，在帮调查中发现，由于用户自己的安全意识不强，而将自己网银的虚拟卡的密码透露给他人，而被他人用于到淘宝网上去消费了一千多元的情况。而发生这种情况更多是由于用户自己的不小心，我下边大厅里的网银自助服务站那里，每天都有排队使用我们提供的免费的网银服务用电脑进行网上交易，在那里我们有很醒目的提示告诉用户保护好自己的密码，在那里使用的人也有很高的自我保护意识，至少从我提出建设这个网银服务站使用到现在，还没有听说谁有帐户被盗的情况。