黑客竊取網上銀行的基本方法

　獲取銀行卡號和用戶信息

　　內行看門道，外行看熱鬧，這話一點不假。通常人們想到要獲取他人的銀行卡號，都會認為那是非常難的事情，其實這是整個過程中最簡單的一步，只 需要自己辦理一張相關銀行卡，只需要在最後一位進行相加(卡號都是相連的)，就可以得到輕松得到卡號。還有一種情況就是通過銀行小票來獲取卡號，多數人取 完款或劃卡消費後，都是把小票隨手扔在垃圾筒裡面，有些賊人就是靠那些小票，取得你銀行卡號，回去專門復制銀行卡號，來達到消費刷卡的非法目的。其實制作 一張銀行卡成本不會超過3元。

　　有了卡號，就需要破解密碼，但這之前首先要獲得用戶的個人信息，這是非常有用的。那麼黑客又是如何獲得個人的詳細信息呢？這其實也很簡單，就 是利用搜索引擎來搜信息，當然在淘寶之類的交易平台上收獲最大，信息也最全。還有一類就是利用木馬和病毒捕獲的信息等手段來獲取用戶信息，灰鴿子就屬於這 類的。

　　其實用戶銀行帳號和信息被盜取從某方面來說，銀行有不可推卸的責任。看看那些ATM取款機的房間，保安每天都如同和尚撞鐘一樣的工作著，真的 擔當了保安的職責麼？多數只會拿著那狼牙棒子四處轉悠，問他個事情還愛搭不理的，不是趴在桌子上睡覺就是望著門外，不知道是在想事，還是在欣賞過街的美 女。再來看看天花板上面安裝的攝象頭，真正能“高清晰”拍攝到完整的畫面麼？真的就不存在死角麼？而且24小時開放的ATM銀行間內，經常會發生機器被破 壞等現象。這些問題的存在都是銀行方面的責任。

　　第二步：破解網銀帳號和密碼

　　在取得了銀行卡號和用戶信息後，接下來要做的就是破解密碼了，這也是整個過程中最重要和最艱難的一步。我們先看看網銀密碼的竊取。網絡銀行固 然方便，但是也存在著很大的隱患。其實很多網絡銀行都沒有鎖定輸入信息的錯誤記錄，只需要刷新重新登陸，一個id可以重復登陸，而且沒有ip限制，只是在 後台運行一套加密破解算法，根據搜索引擎和淘寶上搜到的個人信息來猜密碼，重復嘗試，直到成功。有些技術功底的就直接寫程序，讓計算機幫他猜，實在不行就 換另外的儲戶，畢竟還有上億的儲戶在使用，不用擔心資源不夠用。使用過網絡銀行的人都知道，我們一般都是先登陸該銀行的主頁，然後把自己的銀行帳號填寫進 入，輸入取款密碼就可以完成該交易，這個看似很順利成章的事情。

　　但對於我們喜歡研究網絡安全的人來說，它采用的驗證機制是存在很大安全隱患的，連續地在ID和密碼欄中輸入隨機數字，如果能夠登錄，就說明這 個數字是正確的密碼。在網絡銀行中，企圖非法竊取密碼的作案者如果采用可以改變登錄ID的方法，即便登錄失敗，網站也不會將密碼視為無效。

　　除了用軟件竊 取網銀密碼以外，“冒充站點”也是網上銀行使用中一個非常重要的安全隱患。比如，可以首先向客戶發送一個“本行網站正在進行促銷活動！”等內容的虛假郵 件，然後誘騙客戶訪問虛假站點。客戶在不了解情況時就會向虛假站點發送ID和密碼。客戶發送完畢後，如果顯示出一個“服務馬上就要停止”的畫面，或者把客 戶訪問重新引導到正規站點上，客戶當時是很難察覺的。

　　這樣一來，就存在有人進行非法資金轉移的可能性。這樣的網點行話稱之為“網絡釣魚”而對於普通銀行卡來說，獲取密碼就簡單得多了。我們知道每次取現金的時候都要用到小鍵盤輸入密碼，而密碼的位數也無非是0-9，獲得密碼的概率大致在10的6次方之一，對於一個雙核的3.4G的 計算機來說，只要幾分鐘就能搞定。更簡單的方法還是有的，我們是用手指輸入密碼的，在ATM機上肯定會留下指紋，如果有人專門做了一些手腳的話，也應該能 清晰的知道您剛才使用過的密碼。但有個小問題，就是銀行為了保護儲戶安全，設定了輸入3次錯誤密碼就自動吞卡的機制，這時自己復制的銀行卡就有用武之地 了。當然，被ATM機吞了卡後，黑客通常會換地方繼續嘗試破解，否則見光的可能性會更高。即使在櫃台上，你也能輕松的要回銀行卡，但通常凡是有點頭腦的 “賊”都不會這麼做的，那樣無疑是給自己增加入獄的可能。