转----用上U盾，还是被盗走30万

xboy

在银行的宣传中，U盾是保护个人网银安全最有效的“武器”， 没有U盾在手，别人即使知道你的网银账号和密码也无可奈何。

　　然而，使用银行U盾并非绝对安全。

　　今天上午，西城法院开庭审理了一起U盾木马盗窃大案。年轻的黑客琚文辉悄悄将木马植入用户电脑。当用户使用U盾进入网上银行时，琚文辉借机从2位用户的网银账户上盗走30万余元。

　　案情再现

　　他人从未用电脑 网银被转走上万元

　　李女士是一名淘宝用户，经常使用工商银行的网上银行支付，为安全起见她还特意购买了工商银行的U盾。

　　2010年9月2日晚上，李女士上淘宝购物时发现网银被窃，在1个月前被转出10800元。

　　李女士觉得很奇怪，她家的这台电脑只有她自己用，从未给其他人用过，也从未送修过，使用时也没有发现任何异常。

　　经调查，10800元被转入了“杨熙”的账户内，而“杨熙”早已被列为工行汕头分行网银资金盗窃案的嫌疑人。

　　初中毕业打工仔 制造网银盗窃大案

　　汕头市的受害者是肖先生。他也使用了工行U盾，但失窃金额更为庞大――29.76万元。

　　2010年10月14日下午，身为服装厂老板的肖先生正要汇款，电脑突然白屏。过了一会儿，电脑才恢复正常，肖先生一查账户余额，发现银行卡内的29万余元被转到“刘洪军”的账号上。

　　肖先生报案后，警方调查发现，“刘洪军”很快将29万余元通过银行转账方式，分散打入“杨熙”等三个工行账户上，之后在北京通过ATM机取出。

　　经过警方进一步侦查，2010年11月13日下午，民警将犯罪嫌疑人琚文辉抓获。

　　在出租房内，警方搜查出了三台电脑、作案时使用的5张工行银行卡，有2张银行卡背面签名上写着“杨熙”，另有1张写着“刘洪军”。

　　在接受民警讯问时，琚文辉对自己使用木马窃取客户资金的事实供认不讳。

　　此前银行所猜测的网银犯罪团伙，其实只有琚文辉一人。而琚文辉只有25岁，只是个初中毕业的外地打工仔。

　　作案揭秘

　　使用家中电脑试验 摸索“破解”U盾办法

　　一个初中生，何以走上黑客之路，何以破解工行U盾的防护窃取用户资金？记者近日就此进行了采访。

　　早在2001年，刚刚初中毕业的少年琚文辉便离开安徽老家外出打工。 2004年春节后，琚文辉来京闯荡，在中关村一带推销办公用品，租住在海淀区上地树村一平房内。

　　学历虽不高，但琚文辉平时很喜欢上网，渐渐学会了如何使用木马。

　　2010年3月，琚文辉从网上搜索到一种木马，它能够远程在对方电脑内获取系统操作权限，还能对对方的键盘操作进行记录。

　　这个木马让琚文辉想到一条生财之道：如果能将这个植入网民的电脑，这样用户在使用网银时，岂不是可以记录下网银账号信息？

　　琚文辉本身就是工行的U盾用户。他在家中通过几台电脑进行了试验，最终摸索出了使用木马“破解”U盾的办法。

　　趁着U盾还没拔下 30秒转走网银资金

　　如何向用户的电脑植入木马，这是实施网银盗窃的第一步。

　　琚文辉所使用的是一种“抓鸡”工具（被植入木马的电脑用户被称为“肉鸡”），通过扫描IP号段，能够发现系统存在漏洞的电脑，并能自动将木马植入用户的电脑，使之成为自己的“肉鸡”。

　　之后，他便通过木马程序查看用户电脑系统内是否有网银驱动，而安装了网银驱动的用户就成为琚文辉的重点“监控对象”。

　　但是，木马只能记录下网银用户的银行账户号码和U盾密码，而账户密码由于受到保护无法被木马所记录。

　　为了弄清楚用户的账户密码，琚文辉便通过木马记录下对方登录邮箱、QQ、论坛的密码，然后趁用户不使用网银时，使用这些密码进行试验。很多用户都习惯把银行密码与网络上使用的密码一致，这就留给了琚文辉下手的机会。

　　在获取这些信息后，当用户再次使用网银时，将U盾插入电脑后，琚文辉便在远程监控用户的电脑屏幕。等对方网银交易刚一结束，琚文辉便利用U盾还未拔下来的时机，迅速登录对方的网银，把钱转走。

　　按照琚文辉的说法，这个过程非常短，大约不到30秒就能完成，而且对方根本来不及察觉。

　　戴上眼镜、棒球帽 ATM机上取出钱财

　　被警方所起获的5张银行卡，是琚文辉在作案前特意从网上一位QQ好友处花1000元买来的，户名就包括上文所提到的“杨熙”等，全与他毫不相关，专门用来接收盗窃资金。

　　虽然在网络上可以“隐形”，但对于从网银用户处盗窃来的30多万元巨款，毕竟要“安全”地取出来才能花掉。

　　从受害者肖先生网银上偷来的29万余元，被琚文辉分散汇入事先购买的三个银行卡内，之后连续3天分别在海淀区5个不同位置的ATM机上将钱取出。

　　为逃避侦查，琚文辉每次取款前都会进行简单化装。琚文辉平时并不戴眼镜，但在取款时他会戴上一副红色眼镜和一顶棒球帽。

　　木马盗网银资金流程图

　　植入木马:利用“抓鸡”工具扫描有漏洞电脑，大约5%的电脑能植入木马

　　寻找用户：通过木马程序寻找安装网银驱动电脑，进行“重点监控”

　　获取密码：记录用户邮箱、QQ、论坛等密码，测试出用户U盾密码

　　转移资金：趁用户插入U盾交易后还未拔下之机，迅速登录对方网银并转走钱

　　庭审现场

　　能用自己的电脑监视用户电脑

　　今天上午10时许，身材瘦小的琚文辉被带入法庭。看到现场媒体记者的摄像机和照相机，琚文辉显得有些“怯场”。

　　在网络世界纵横驰骋的琚文辉，在回答公诉人和法官提问时总是显得“慢半拍”。在回答“怎么想到用这种办法盗窃”时，琚文辉想了半天都没回答上来。

　　“我能用自己的电脑监视用户电脑，对方所有的操作我都能看清楚。”琚文辉说，他最初接触木马，只是作为“兴趣爱好”研究而已。

　　对于盗窃罪的指控，琚文辉没提出异议，也没有为自己做任何辩护。

　　“我心里一直有一种负罪感。”琚文辉直到最后陈述时才冒出这么一句。

　　曾破解20多位用户的账号密码

　　西城检察院刘文惠检察官介绍，使用木马盗走U盾用户30万余元的巨额资金后，按琚文辉自己的话来说是“惶惶不可终日”。琚文辉害怕被警察抓住，存入自己银行账号的赃款他都不敢花。

　　据琚文辉称，盗窃目标之所以选择U盾用户，是因为工行的网银用户最多，所以作案更容易得手。

　　而在短短的几个月内，琚文辉成功破解了20多位U盾用户的账号、密码和U盾密码，并4次盗窃得手。其中两起涉案金额很小，目前尚未查实。

　　银行U盾在使用上有漏洞

　　刘文惠检察官表示，跟普通的盗窃犯罪相比，琚文辉通过木马盗窃网银的社会危害性更大。因为琚文辉盗窃的目标不特定，而且盗窃金额特别巨大。检察官建议法院在12年至13年有期徒刑之间对其量刑。

　　“爸爸，对不起。”庭审结束后，琚文辉被允许跟他的父亲见了一面，父子俩泪眼相对。父亲嘱咐琚文辉一定要好好改造。

　　在面对媒体采访时，琚文辉不愿回想具体的作案过程，“其实没什么技术含量”。

　　记者问是否有办法防范网银资金被盗窃，琚文辉漫不经心地说了一句：“银行U盾在使用上有漏洞，黑客总能想出办法。”

　　法院将择日对此案作出判决。

　　●U盾名片

　　U盾，即工行2003年推出并获得国家专利的客户证书USBkey，是工行提供的办理网上银行业务的高级别安全工具。它外形酷似U盘，像一面盾牌，时刻保护着网上银行资金安全。

　　从技术角度看，U盾是用于网上银行电子签名和数字认证的工具，它内置微型智能卡处理器，采用1024位非对称密钥算法对网上数据进行加密、解密和数字签名，确保网上交易的保密性、真实性、完整性和不可否认性。

nicol

安全性宣传得越神乎其神的，其实是最不安全的。
所谓的数字认证，电子签名，加密处理，原来是“其实没什么技术含量”。

吕颖

这个不能怪银行。
你自己的电脑有木马，任何保密方式都不可能管用的。

吕颖

不管使用什么高级技术，如果使用者不懂得保护自己，都没用。
技术只是工具，不了解自己，再好的工具也没用。

xboy

u盾 可以弥补 证书 的安全性，但无法弥补windows 平台、互联网开放体系的 不安全性

互联网整个的开放模式，决定了体系 的安全性得不到保证。

slowblue

相比较u盾，我反而觉得口令卡更安全，当然也更方便。

宁静至远

相比较u盾，我反而觉得口令卡更安全，当然也更方便。
slowblue 发表于 2011-4-15 15:33

比危险更可怕的东西，是我们面对危险而不自知，自认为那是别人比较2才会犯的错误，而当自己遭遇不幸的时候才追悔莫及。千鸟在淘宝买邮票被骗了（via），金额5.4W算是不小的数字，纵观他的整个操作流程，虽然加QQ、打开exe文件这些都是被千遍万遍提到的网购忌讳，但是扪心自问我们在自己遭遇这种情况，在我经过支付宝的登陆密码、手机动态口令、数字证书、支付密码多重保护后，有多大的几率会因为过于相信自己的经验自大而受骗。

千鸟是一个老网虫，也是一个互联网从业者，他和很多混互联网的人一样喜欢网购，乐于享受支付宝、网银这种E时代支付方式带来的便捷，对于网络钓鱼、诈骗也有足够多的防范意识，而千鸟这样典型用户所犯的错误也很容易被我们重现，更遑论那些更大比例的普通用户了。同类骗子木马针对的是支付宝，这次被骗事件远没有你想象的那么简单，隐蔽性和危害性远超你的想象，而支付宝已经成为大多数网络商城的标配支付工具，波及面也可能不是我们臆想的那么小。

首先来还原一下事件过程：①千鸟在淘宝联系一个卖邮票的商家，对方表示联系老板QQ会有更多优惠。②千鸟不疑有他，通过QQ联系到这名自称老板的人。③对方通过QQ发送了产品实物图，事实上是一个包含exe可执行文件的压缩包，这个文件可能是被捆绑图片的exe文件，图标已经被修改具有很大迷惑性，双击发现不妥后但是千鸟仍然信任支付宝的三重保护机制，最后继续交易。④多次通过支付宝进行支付未成功，实际上这些交易已经被劫持，资金已经被转移。

整个交易过程中，给大家的教训除了不要用QQ等第三方IM工具、不要擅自接收不明文件等老生常谈的话题外，留下更多是新产生的巨大问号。千鸟在支付过程中已经足够小心：为预防钓鱼网站，我每一步都仔细验证了是否真正的淘宝链接，确认都没问题；为预防键盘记录，我在输入密码采用了交叉和混淆的安全措施，应该也比较保险。支付宝的三重乃至四重保护机制（登陆密码、手机动态口令、数字证书、支付密码）都无法保障交易安全吗？这是否意味着支付宝自身安全机制存在着重大漏洞？整个诈骗过程究竟是如何实现的？

昨天晚上正好看到李铁军在聊这事儿，事实上同类的诈骗木马在去年就被发现了，他去年11月就写了一篇文章进行过分析，交流过一会儿大概了解了以下一些细节：

    这事儿其实和支付宝没太大关系，在你付款的时候交易已经被劫持了，说得明白一点就是支付页面已经跳转到使用其它在线支付工具的页面了，已经在后台帮你创建了一个同金额的交易，当然为了欺骗消费者这个页面完全抄袭了支付宝的页面风格，这些钱实际就进到了非支付宝的第三方户头里面。
    木马的功能就是用来劫持交易，判断用户就要使用支付宝进行交易了，立刻跳转到指定的钓鱼页面。你是不是想问为什么地址栏没有发生变化，据老李称这是因为“病毒会创建贴图挡住，病毒接管浏览器会话，https对交易单的内容没有保护能力，病毒就在把交易单内容给改了，然后把正常的交易单挂着，自己再弄新的交易单，骗中毒者提交。”，这一劫持方式对所有浏览器、所有网银、在线支付工具都适用。
    在诱骗付款完成后，骗子又会让钓鱼页面跳转回支付宝的付款信息页面，这个页面将会显示付款失败，诱导用户重复支付、多次受骗。
    骗子会尽快通过多种方式、多种渠道将骗到手的钱化整为零，通过各种方式来疯狂洗钱，大多数网络交易金额太小，警察叔叔也许都不会立案，最后你会发现追查几乎是一个不可能完成的任务。

这时候你能够了解这种诈骗方式的可怕之处，由于IE不会再地址栏显示出任何变化，所以骗子才能够悄无声息地绕过支付宝的保护机制，轻轻松松把用户手里的钱揣进自己口袋。另外一个问题是，安全软件、安全辅助软件是否存在较大漏洞，能否有效阻截这部分隐蔽性极高的诈骗木马？老李推荐了自家的金山毒霸和竞争对手360安全卫士，相对而言其它安全辅助软件只是在做拦截钓鱼网站和识别病毒的传统路子，这话是老李说的，仅给大家参考。

另外有一个有意思的话题，为什么支付宝一直以来只支持IE？尽管近期开始支持Firefox、Chrome等第三方浏览器，但也是通过桥接的方式间接支持，换言之你在Linux或Mac下面很多功能几乎没办法使用。如果说数字证书是为了保障消费安全，据了解国外的Paypal、Google Checkout均未使用类似技术，大家都知道这是一个中国式潜规则，希望支付宝能够勇敢跨出第一步，不要只围绕数字证书、安全控件做文章，通过更通用、更安全的方式保障用户资金安全。

希望这篇文章不会被看作是金山的公关文，老李那篇文章最后本来有金山毒霸的ad，最后在我严刑伺候之下已经去掉了。良好的操作习惯是最好的保障，在看到这么厉害的木马之后网购更要谨慎了，祝大家都好运，希望千鸟能早日追回钱款，给大家提供相关木马的演示视频（via）和分析文档（via）。