国内黑客解密网络攻击全过程
[导读] 上个月,百名网银被窃用户集体状告某大国有银行一事尚未有个说法,上周,又有读者杜先生致电本报向记者反映:“刚才某某银行通知我说,我的信用卡昨天通过网上支付在境外消费了2万美元,可我昨天根本就没在网上购买过任何东西,我赶紧找银行挂失、投诉,他们说,这件事还要等过几天向美国那边核实后才能知道结果。
上个月,百名网银被窃用户集体状告某大国有银行一事尚未有个说法,上周,又有读者杜先生致电本报向记者反映:“刚才某某银行通知我说,我的信用卡昨天通过网上支付在境外消费了2万美元,可我昨天根本就没在网上购买过任何东西,我赶紧找银行挂失、投诉,他们说,这件事还要等过几天向美国那边核实后才能知道结果。我想我肯定是被人通过网上支付在境外盗刷的。”
为了回答读者关于网上支付到底安全不安全,黑客到底是如何进行“偷窃”的,上周五,记者采访到一位出道10余年的“骨灰级”(指极其资深者)国内黑客。他告诉记者,杜先生信用卡账号及密码被盗的最大原因是其电脑中被植入了“木马”程序(病毒),在他进行网上支付时账号与密码一起被窃走。随后,他还为记者模拟演示了黑客设置木马、蠕虫、僵尸程序发起攻击的全过程。
由于按照国家相关规定,无法以互联网上的真实用户作为攻击对象,仅是在内部电脑上进行了模拟演示,但即便如此,一种神秘而紧张的气氛也围绕着整个演示过程。由于这些攻击大部分是非显性的,同时也为防止个别人恶意模仿,记者仅将采访中了解到的部分情节及病毒程序编写的部分页面截屏后呈现给大家。
【现场目击】
木马攻击一招比一招狠
采访对象小白在演示中用了一个目前最低端的木马制作软件来制作网页木马并进行挂马(安装木马程序)。首先要配置好一个木马服务端,然后生成服务端,假设生成的木马服务端为mm.exe,接着打开软件选择mm.exe 然后点生成,就会在相同目录下自动生成一个mm.chm和mm.htm注意:这几个文件可不要轻易去点)。接着就把mm.chm和mm.htm传到自己的空间。然后要应用到另外一个软件html网页加密程序,选择源文件为mm.htm目标文件m.htm然后点加密,程序就会在mm.htm目录下生成一个用avascript加密后的m.htm,然后传到肉鸡(指被感染电脑)或空间里去。在本机测试看:就是网页木马地址了,只要把这个发给别人,对方浏览了就会中木马。但这个还属于被动的一种,需要你接收,然后打开。还有一种更强硬的方式:入侵挂马,直接入侵知名网站挂马,不用接受,不知不觉中就会中招。小白介绍说,自己最多时成功俘虏了2万多台僵尸电脑,今年曾用来对某一非盈利性网站发起过攻击,导致该网站瘫痪达29个小时。
【专家支招】
4招提升网上支付安全性
某国际知名防病毒厂商中国区金融/电信行业售前技术支持部经理郭先生,向记者详细解读了如何加强防御病毒入侵的
方法
快递客服问题件处理详细方法山木方法pdf计算方法pdf华与华方法下载八字理论方法下载
及网银安全的防护法。
1.长时间没对防病毒软件升级、没有安装防病毒软件或对自己的计算机疑虑的用户,建议先卸载掉所有的非基础应用程序,再进行自查。如在进程及注册表中发现异常程序,可以先将进程结束再把注册表中相应的程序删除。若要进行此操作,最好拨打所购买杀毒软件厂商的客服电话,并在工程师的指导下进行。
2.及时更新
WINDOWS系统补丁、升级,杀毒软件要保持定期更新病毒库特征码(可设为联网自动更新)。
3.注意不要轻易打开不熟悉的邮件附件,特别是带有附件的邮件要谨慎处理。开启杀毒软件对邮件的监控功能,使用杀毒软件对邮件及其病毒进行清查,确认没有问
题
快递公司问题件快递公司问题件货款处理关于圆的周长面积重点题型关于解方程组的题及答案关于南海问题
后再打开附件,如有疑问建议将邮件直接删除。而对于那种直接隐藏在邮件页面里的病毒,判断方法是:如果邮件不带附件,那么正常的邮件应该是在2K-20K之间,除了长篇大论的情书及悔过书外。一般加载了病毒控件的页面都在几十K以上。
4.用户应当使用Windows Update及时修补操作系统和应用软件存在的漏洞,对于不常使用的端口进行过滤或关闭。同时,不要随便到网上下载程序和文件。
郭先生表示,实际上互联网作为一个开放的平台,是没有绝对的安全可言的。但是,只要安全保障措施做的够好,网民们还是可以享受这项快捷的服务方式的。如果有查询、转账、买外汇等需求,建议:首先,要使用U盾等USB网银加密工具;其次,还是要注意升级、更新杀毒软件;再次,加强对钓鱼网站的识别;又次,一定不要在公用电脑及网吧使用网银;最后,使用信用卡进行网上支付时,一定不要把卡背面的7位数检查码(非授权码)透露出去。
【黑招曝光】
木马种植
特点:通过在被感染的计算机的程序中开后门即暗道,平时潜伏着,只有当你打开了被监控的相关网页时才会开启。目前,对网上支付造成威胁最大的就是这类病毒程序。
危险指数:★★★★★
隐蔽指数:★★★★★
中毒症状:只有“传奇木马”是最显性的一类,中毒后机器会明显出现运行速度变慢。其他种类具有良好的潜伏能力,对于不具备专业知识的普通用户有些难以觉察的症状,增加新的进程、修改注册表、开放某个端口。然而,木马在进入计算机后,在修改机器的注册表时会出现IM(QQ、MSN、雅虎通等)自动随机启动的症状。
自查方法:在未安装或更新杀毒软件的前提下,抓出“小偷”的方法是自查计算机进程,如果一台装有WINDOWS XP的计算机没有安装太多的应用程序,那么其正常“进程”里显示的运行程序应该是十几项(仅装有XP、WORD等基础应用软件)。同样,你还可以点击“开始”打开“运行”框,输入“regedit”回车,再点开“查找”一栏,输入“run”回车即可查看注册表信息,正常的应该与“进程”显示一样。
“僵尸”入侵
特点:这是近一两年来比较盛行的黑客攻击手段,其实,僵尸也可以理解为木马。是黑客针对网络用户,尤其是宽带用户发起的攻击。它以HTTP包、垃圾邮件、某种程序的包(大容量)传播,被种入程序的电脑被称为僵尸电脑。黑客并不是时刻盯着主机干活,他们平时潜伏着,只在一定时间内发起一次攻击。攻击时通过集中所有在线的僵尸电脑,同时向被攻击网站发送大容量的程序包以损耗其网络带宽,从而使其无法承受超负荷运转而瘫痪。
危险指数:★★★★★
隐蔽指数:★★★★★
中毒症状:“僵尸网络”与“木马”一样具有很强的隐蔽性,不会占用系统资源,也不会破坏电脑数据,用户常常毫不知情,就仿佛僵尸一般被黑客操控随时备用。
自查方法:如上。
“蠕虫”
特点:蠕虫也是一种病毒,因此具有病毒的共同特征。病毒的传染能力主要是针对计算机内的文件系统而言,而蠕虫的传染机理是利用网络进行复制和传播,传染途径是通过网络和电子邮件。其传染目标是互联网内的所有计算机、局域网条件下的共享文件夹、电子邮件(E-mail)、网络中的恶意网页、大量存在着漏洞的服务器等。现在通过网络,蠕虫病毒可以在几个小时内蔓延至全球。
危险指数:★★★★★
隐蔽指数:★
中毒症状:在三类病毒程序里,这是惟一比较显性的侵害。电脑一旦中了蠕虫,运行会突然变慢、图片文件或WORD文档打不开,严重的甚至无法启动IE而上不了网。中毒的电脑将会自动对外发送HTTP包邮件给自己的邮件列表人,而不自知。
自查方法:如上。
原文出自【比特网】,转载请保留原文链接:
转亲身经历:在淘宝被诈骗5.46万始末
今早只睡了三个小时,下午从Betacafe北京店开业现场回来,带几位朋友在和平街附近刚吃完饭到家,回了北京市公安局的电话,来好好梳理下今天混乱的思绪。 事情得回到昨晚在淘宝上买邮票,通过搜索找到目标货物,东西暂时不便透露,但量是100件。当时客服回话说“加下我们老板吧,要的多,价格得他订。”我加 了 这位QQ号为442165303的骗子,聊了会儿感觉还不错。但我发现他们这个是新店,并且仅有的十几个信用都是刷的,于是提出质疑,他答复说是新开的 店。我想想现在确实很多卖家这么做,没深究。
后来我要求发实物图看看,对方发了个rar压缩包,看到大小只有126K也没提出质疑,因为可能手机拍的。解压后是个类似“图片”的文件,于是我点了,然后就报错(典型的木马病毒)。我当时就问对方“为什么发.exe可执行文件?”并同步迅速检查了系统管理设置,还有进程服务,没发现异常。对方也回答“发成店铺装修工具了”,然后重新又给了份。虽然意识到可能已经中木马,但想到淘宝、支付宝是双重验证机制,并且有证书支持,应该不会这么容易出问题。所以,又没深究。
最后我们确定了一笔¥39,000的订单,下单时间是0点10分。付款时间大概是0点30分,印象中顺利付款成功,因为这个过程用好几年淘宝从来没在意过。为预防钓鱼网站,我每一步都仔细验证了是否真正的淘宝链接,确认都没问题;为预防键盘
记录
混凝土 养护记录下载土方回填监理旁站记录免费下载集备记录下载集备记录下载集备记录下载
,我在输入密码采用了交叉和混淆的安全措施,应该也比较保险。过了约20分钟,骗子告诉我说还有20件,一起给我算了。我想想也合适,于是在0点58分下了第二个¥7,800的订单,随后马上进行了付款操作。但奇怪的是,网银支付成功后最后返回淘宝确认的页面居然出现错误!如下图
我第一反应从没见过这种提示,第二反应可能淘宝出问题,于是毫不犹豫点击了“请您重新支付”,返回“已买到的宝贝”看到状态也确实“等待买家付款”,于是我马上又重新支付了一次(这个循环目地在于把钱骗干净)。这回我特地留意了每个步骤,原来网银确实提示支付成功,但只是返回淘宝后出现“错误”,而返回“已买到的宝贝”列表看到也确实还都是“等待买家付款”状态。我开始感觉有点不对,但又找不到具体原因。骗子一直说“是有网络问题,我以前也碰到过。”并劝我早点休息,不断打乱我思路,很没头绪。
而后我在招行网银活期交易记录里,看到三笔订单都已经支付,于是我怀疑可能是网银或者淘宝出问题,这不是没有可能。最终问题的关键点,我发现在订单号上。之前支付宝交易订单号都是10位,而新操作的三笔订单都是6位,
说明
关于失联党员情况说明岗位说明总经理岗位说明书会计岗位说明书行政主管岗位说明书
很有可能这几笔订单根本没支付给支付宝。如下图(第四笔订单为后来测试)
想到这里不仅倒抽一口冷气,基本确认被诈骗,三笔订单总计达到¥54,600!。联想骗子不断“拖延时间”的托词,可能是在等待提现或支付。于是马上打95555客服咨询资金去向,当时已差不多凌晨1点30分,居然还有人工客服。结果确认了我的猜想,三笔订单根本没支付给淘宝,而是到了上海的“汇付天下有限公司”,并且提供了4008202819这个客服电话。接着打到上海,同样也还有人工客服,对方告知现在正在“结算”,无法查询这三笔订单到了哪里,需要等到今早 6点才可以。并且对方男性客服提供了很多参考建议,包括提醒我到支付宝后台尝试给自己“充值”1毛钱,看能否顺利到帐。我测试了1块钱,支付宝余额果然没变化,也就是上边截图中的第四笔订单。
此时已过凌晨2点,算下到6点还有四小时,本打算“坐等”,但后来实在熬不住3点睡了。
5点50被闹钟吵醒,爬起来等刚过6点再给上海打电话。接电话还是那哥们,很顺利告知钱已打到“网之易信息技术有限公司”,三笔订单号分别是:185511506, 185517495, 185517748,也提供了客服电话020-********,说公司的游戏部门在广州。这会我才反应过来,这不就是广州网易吗?难怪眼熟呢。马上打客服电话,没有这种业务选项,我随便挑了个游戏进人工服务。客服先说他们查不了,我表示非常严重后,他好像在记录,又说只有“订单号”无法查询,需要“流水号”,然后需上报处理等等。
其间,我不断在网络上搜索资料,终于发现了“支付宝大盗”这类木马病毒。已有不少淘友有投诉,而且我看了有类似经历,只是金额太小,公安机关不予立案,但媒体已经在关注。如果说我们这样的互联网从业者都会上当受骗,难以想象普通老百姓会如何。
这条路走不通,我选择打广州110,此时快早上7点了。广州110的意思,需要在事发当地立案,他们才可以受邀协查。于是我直接打北京110,接线员大致了解了案情和金额,让我在家等。大概10分钟,民警给我打电话到了楼下来接我,我们一起去了和平街派出所。一位民警同志先了解了情况,然后做了个临时立案,因为金额较大,需要刑警过来处理。大概8点,我抽空给网易公司的朋友彭毅打了个电话,希望网易公司能先主动冻结资金。电话陆续反馈过来,第一确实有这回事,第二钱已经全消费了,第三买了1万多的游戏点卡和4万的手机充值卡(已充给100多位用户)。
刑警大概9点过来,重新做了遍笔录,这位同志对这种事儿了解还比较多,沟通很顺畅。基本都认同,高科技团伙作案,分工明细效率极高。最后他的意思,往后警方会找网易(消费出口)和其他公司调查,但结果很可能和目前通过朋友得到的消息没什么差别。
出派出所后与彭毅联系了下,正好网易支付技术团队在北京,打车去五道口清华科技园D座25层网易公司,我们和技术人员简单碰了下。然后我就先回家了,13号线上不仅坐过柳芳到了东直门,更悲剧还是被列车员叫醒的。迷迷糊糊那会儿,心情真是跌到了冰点,主要挫败感所致。
这个事情我倒没怎么着急,来回反复考虑,自己肯定有责任,但淘宝、支付宝、网易也都脱不了干系。首先淘宝店铺是实名认证的,骗子不使用旺旺而是用 QQ沟通应该有原因。其次支付宝我认为应该是被“劫持”了会话,伪装很好,但好像也太容易了吧?第三网易游戏平台居然几小时内就支持能把几万块洗干净,而且还是在后半夜,显然不合理的。
其实也认识很多淘宝、支付宝、网易公司的朋友,而且我们公司还是淘宝合作伙伴。说来也巧,正好下午去参加Betacafe北京店开业酒会,可以碰到很多淘宝、支付宝、网易的家伙。截止上午11点,网易方面除处理了帐号,也已单方面报警,并且对交易操作及时做了限制。
骗子车轻驾熟,分寸把握的很好,很多细节都是对后来的铺垫。整个过程精心策划,充分利用了各平台的弱点。资金要倒好几手,正好我这边又是网银支付而不是余额支付,查询资金去向浪费了不少时间。现在其实资金能否顺利追回已经不重要,关键怎样规避这种问题再次发生,净化电子商务环境。希望更多淘友看到避免上当,也包括各家有干系的公司从中得到教训迅速改进。
好吧,还是说点轻松的事儿,本来咱们UCDChina的朋友约好今天早上十点在Betacafe北京店碰头。我在八点电话把Angela老师吵醒之后,正在与警官讨论时,收到条群发短信“周董开会,鸟哥又进公安局了,姐要被小猪安排去应酬……”
2月27日 上午11:27
网易广州客服来电,主要表示这个事情会全力配合警方,另告知三笔订单确实是充值到了“网易宝”某账户上,并已对账户做了相关处理(昨天已知)。在我表示他们也有责任的时候,客服说“我们也是无辜的,也不知道淘宝购物的钱怎么会充值到网易宝上边。”
网络黑客攻击呈现三大特点
以牟利为目的,形成利益链条,攻击计算机信息系统涉及多领域
本报北京11月30日电 连日来,全国公安网络安全保卫部门对制作销售网络盗窃木马程序案件、组织僵尸网络案件、帮助他人实施拒绝服务攻击案件以及侵入政府网站案件进行了集中打击。11月30日,公安部公布了一批破获的打击黑客攻击破坏活动典型案例。
公安部网络安全保卫局有关负责人今天表示,近年来,国内黑客活动具有以下三大特点:
一是绝大多数黑客攻击破坏活动以牟利为目的。网络攻击者主要通过制作传播病毒盗窃网络银行账号、游戏装备等方式获利;
二是分工细化、形成利益链条。黑客攻击活动已形成了由制作提供黑客工具、实施攻击、盗窃账号、倒卖账号、提供交易平台等各个环节分工合作的利益链条;
三是被攻击的计算机信息系统涉及多个领域。近年针对政府、金融、交通、电力、教育、科研等领域系统的攻击数量明显上升,社会危害性越来越大。
这位负责人还表示,目前,公安机关打击黑客攻击破坏活动的难点,主要是违法犯罪分子多使用境外网络资源实施黑客攻击破坏活动。根据国家互联网应急中心发布的有关
报告
软件系统测试报告下载sgs报告如何下载关于路面塌陷情况报告535n,sgs报告怎么下载竣工报告下载
,上半年境外有12.7万多个IP作为木马控制器参与控制中国大陆地区的受害计算机,有4583个主机IP作为僵尸网络控制服务器控制我国境内僵尸网络受控主机。
公安部公布打击黑客十大典型案例
1.“饭客网络”系列黑客教学网站案
2010年4月,湖北鄂州公安机关先后打掉了“饭客网络”、“甲壳虫”两个涉嫌提供侵入、非法控制计算机信息系统工具程序的黑客网站,抓获7名犯罪嫌疑人。经查,犯罪嫌疑人盛某于2009年建立“饭客网络”黑客网站,依靠大量发布网络攻击和入侵方面的广告牟利。初步统计发现,“饭客网络”注册会员超过4万。嫌疑人吕某于2009年开办甲壳虫网站,以黑客培训、提供专用黑客工具下载等方式吸收会员注册。截至案发,共吸收注册会员3万余名,其中收费会员500余人。经查,吕某非法获利20余万元。
2.“华夏黑客联盟”黑客教学网站案
2010年8月,湖北麻城公安机关侦破“华夏黑客联盟”网站提供侵入非法控制计算机信息系统程序工具案,抓获3名犯罪嫌疑人。经查,犯罪嫌疑人石某某于2006年创办“华夏黑客联盟网”,并雇佣他人从事网站的客服工作。截至案发,“华夏黑客联盟网”总计招收会员近万名,其中收费VIP会员600余人,网站非法牟利36万余元。
3.“南域黑鹰红客基地”案
2010年6月,河南周口公安机关对涉嫌组织网络违法犯罪活动的重点黑客网站“南域黑鹰红客基地”进行调查,抓获违法犯罪嫌疑人张某某。经查,该网站涉嫌网上有偿培训黑客技术、提供网络攻击破坏软件下载、交流网络攻击破坏技术等违法犯罪活动。
4.非法提供盗窃程序案
2010年7月,北京公安机关在侦破一起网络诈骗案件时发现,犯罪分子使用黑客病毒程序盗窃网民QQ账号密码,并冒充用户实施网络诈骗。专案组抓获为网络诈骗团伙制作、销售木马病毒的5名犯罪嫌疑人。现查明该团伙累计销售木马126人次,涉案金额40万元。
5.“棋幽网络”网站提供非法程序案
2010年7月,广东惠州市公安机关网安部门侦破“棋幽网络”网站提供非法程序案,抓获犯罪嫌疑人2名。“棋幽网络”网站涉嫌制作“棋M特别修改VIP版”、“棋幽MRAT远控”等黑客软件供会员下载使用,并提供修改木马病毒程序服务。部分不法分子利用他们的“免杀”服务,通过控制“肉鸡”和在网站“挂马”,进行DDOS攻击和盗取游戏账号。
6.“Hack Roots”网站提供非法程序案
2010年6月,安徽巢湖公安机关成功侦破“Hack Roots”网站提供非法控制计算机信息系统工具案,打掉了一个跨京浙等六省市,集制作、维护、销售黑客攻击破坏工具和黑客教学于一体的犯罪团伙,抓获犯罪嫌疑人4名。截至案发,该网站发展会员1700余人,获利数十万元。
7.南宁电信积分被盗窃案
2010年4月,广西南宁公安机关侦破一起盗窃网民电信积分案,抓获犯罪嫌疑人5名,涉案金额达20余万元。经查,该团伙通过黑客软件获取中国电信广西分公司用户对应IP地址,并破解用户电信账号和密码,然后登陆中国电信广西分公司的网站礼品兑换空间兑换游戏点卡,以低价出售获利。
8.“暴力木马”盗窃虚拟财产案
2010年3月,江苏淮安公安机关发现该市有5000余名游戏玩家受“暴力木马”感染,网民大量游戏金币及装备被盗。经缜密侦查,抓获孟某某等犯罪嫌疑人7名。经查,该犯罪团伙组织体系严密,形成地下产业链条。其中,木马作者孟某某先后将“箱子”租给48个一级代理,获利7万余元。
9.制作传播盗号木马病毒程序案
2010年6月,江苏徐州公安机关发现,有人在网上贩卖专门盗取腾讯公司DNF(地下城与勇士)游戏账号、密码的盗号木马。经侦查,先后抓捕8名犯罪嫌疑人。该犯罪团伙分为“木马作者”、“木马代理”、“洗信人”等三个级别。其中犯罪嫌疑人廖某某伙同布某、彭某某开发了“生命”木马,共获利人民币20余万元。
10.宁波网吧被DDOS攻击案
2010年5月,宁波某网吧遭到DDOS攻击。6月,宁波公安机关抓获犯罪嫌疑人尹某,摧毁一个控制了万余台电脑的互联网僵尸网络。经查,尹某利用“135抓鸡软件”在互联网上抓取大量“肉鸡”组成僵尸网络,并远程控制租用的服务器对目标进行攻击,以对网吧业主实施敲诈勒索。
浙公网安备 33021202002483