編外：打網銀主意的是罪犯， 而不是黑客

　　第一步：獲取銀行卡號和用戶信息

　　內行看門道， 外行看熱鬧， 這話一點不假。 通常人們想到要獲取他人的銀行卡號， 都會認為那是非常難的事情， 其實這是整個過程中最簡單的一步， 只需要自己辦理一張相關銀行卡， 只需要在最后一位進行相加（卡號都是相連的）， 就可以得到輕松得到卡號。 還有一種情況就是通過銀行小票來獲取卡號， 多數人取完款或劃卡消費后， 都是把小票隨手扔在垃圾筒里面， 有些賊人就是靠那些小票， 取得你銀行卡號， 回去專門復制銀行卡號， 來達到消費刷卡的非法目的。 其實制作一張銀行卡成本不會超過3元。

　　有了卡號， 就需要破解密碼， 但這之前首先要獲得用戶的個人信息， 這是非常有用的。 那么黑客又是如何獲得個人的詳細信息呢？這其實也很簡單， 就是利用搜索引擎來搜信息， 當然在淘寶之類的交易平臺上收獲最大， 信息也最全。 還有一類就是利用木馬和病毒捕獲的信息等手段來獲取用戶信息， 灰鴿子就屬于這類的。

　　其實用戶銀行帳號和信息被****從某方面來說， 銀行有不可推卸的責任。 看看那些ATM取款機的房間， 保安每天都如同和尚撞鐘一樣的工作著， 真的擔當了保安的職責么？多數只會拿著那狼牙棒子四處轉悠， 問他個事情還愛搭不理的， 不是趴在桌子上睡覺就是望著門外， 不知道是在想事， 還是在欣賞過街的美女。 再來看看天花板上面安裝的攝象頭， 真正能“高清晰”拍攝到完整的畫面么？真的就不存在死角么？而且24小時開放的ATM銀行間內， 經常會發生機器被破壞等現象。 這些問題的存在都是銀行方面的責任。

　　第二步：破解網銀帳號和密碼

　　在取得了銀行卡號和用戶信息后， 接下來要做的就是破解密碼了， 這也是整個過程中最重要和最艱難的一步。 我們先看看網銀密碼的竊取。 網絡銀行固然方便， 但是也存在著很大的隱患。 其實很多網絡銀行都沒有鎖定輸入信息的錯誤記錄， 只需要刷新重新登陸， 一個id可以重復登陸， 而且沒有ip限制， 只是在后臺運行一套加密破解算法， 根據搜索引擎和淘寶上搜到的個人信息來猜密碼， 重復嘗試， 直到成功。 有些技術功底的就直接寫程序， 讓計算機幫他猜， 實在不行就換另外的儲戶， 畢竟還有上億的儲戶在使用， 不用擔心資源不夠用。 使用過網絡銀行的人都知道， 我們一般都是先登陸該銀行的主頁， 然后把自己的銀行帳號填寫進入， 輸入取款密碼就可以完成該交易， 這個看似很順利成章的事情。

　　但對于我們喜歡研究網絡安全的人來說， 它采用的驗證機制是存在很大安全隱患的， 連續地在ID和密碼欄中輸入隨機數字， 如果能夠登錄， 就說明這個數字是正確的密碼。 在網絡銀行中， 企圖非法竊取密碼的作案者如果采用可以改變登錄ID的方法， 即便登錄失敗， 網站也不會將密碼視為無效。

　　除了用軟件竊取網銀密碼以外， “冒充站點”也是網上銀行使用中一個非常重要的安全隱患。 比如， 可以首先向客戶發送一個“本行網站正在進行促銷活動！”等內容的虛假郵件， 然后誘騙客戶訪問虛假站點。 客戶在不了解情況時就會向虛假站點發送ID和密碼。 客戶發送完畢后， 如果顯示出一個“服務馬上就要停止”的畫面， 或者把客戶訪問重新引導到正規站點上， 客戶當時是很難察覺的。

　　這樣一來， 就存在有人進行非法資金轉移的可能性。 這樣的網點行話稱之為“網絡釣魚”而對于普通銀行卡來說， 獲取密碼就簡單得多了。 我們知道每次取現金的時候都要用到小鍵盤輸入密碼， 而密碼的位數也無非是0-9， 獲得密碼的概率大致在10的6次方之一， 對于一個雙核的3.4G的計算機來說， 只要幾分鐘就能搞定。 更簡單的方法還是有的， 我們是用手指輸入密碼的， 在ATM機上肯定會留下指紋， 如果有人專門做了一些手腳的話， 也應該能清晰的知道您剛才使用過的密碼。 但有個小問題， 就是銀行為了保護儲戶安全， 設定了輸入3次錯誤密碼就自動吞卡的機制， 這時自己復制的銀行卡就有用武之地了。 當然， 被ATM機吞了卡后， 黑客通常會換地方繼續嘗試破解， 否則見光的可能性會更高。 即使在柜臺上， 你也能輕松的要回銀行卡， 但通常凡是有點頭腦的“賊”都不會這么做的， 那樣無疑是給自己增加入獄的可能。 中國有句古話：鐵杵磨成針， 只要有時間和耐心， 讓黑客惦記上， 準跑不了。 也許有人會懷疑， 這么簡單就能破解密碼， 那誰都能做黑客了。 答案就是這么簡單， 其實你會捫心自問一下， 自己的銀行密碼很復雜么？我想大多數人的銀行密碼都非常簡單。 我曾經專門拿身邊的朋友， 親戚， 同學等人做了測試， 得到了以下的結論：一些儲戶為了好記密碼， 取款密碼使用自己的生日號碼， 還有更多的人還是喜歡把家中電話號碼做為密碼， 最有意思的是有人居然把取款密碼設定為了123456， 我問他為什么， 人家說了， 別人都把密碼設定的特復雜， 我反倒要簡單， 越危險的地方就是最安全的地方。 呵呵， 這位仁兄的理解， 實在是搞笑。 對于那些設定為123456的人來說， 你的密碼就更可說是形同虛設， 真不知道當初銀行為什么要把我們的取款密碼設定為6位。 這也從另一方面說明了黑客為什么會輕松的破解密碼。

　　通過ATM來破解密碼， 銀行也要負責。 如果我們忘記取卡了， 很少有機器發出提示警告或者發出報警聲響， 在今天壓力較大的社會， 我想到了李

　　寧專賣店上醒目的臺詞：一切都有可能， 所以忘記拔卡也不是不可能出現的。

　　入侵銀行數據庫的大牛

　　到這里大功基本告成。 剩下的事就是考慮如何花掉這些非法所得的金錢了。 上面介紹的都是一些常規手段， 還有一非常規手段， 就需要有真正的黑客技術了， 曾經有大牛拿假身份證去辦卡， 然后入侵某銀行的數據庫， 給自己開了剛辦的這張卡里存了一元錢， 第二天， 在ATM機上則如假包換的有了11元錢。 這就證明了網絡世界里沒有絕對安全的理論。

　　為了更加形象的說明常規手段， 下面是一段情景再現：

　　他， 穿黑色套頭的運動上衣， 頭戴白色網球帽， 使用一張銀行卡， 在人較少的時間段進入ATM操作間， 把卡放入入卡口那里， 然后把取款機上的探頭利用口香糖或雙面膠封存， 利用液體口香糖噴灑在輸入鍵盤之上， 因為是背對銀行的攝象頭， 所以操作的時候是無法捕獲到的， 然后熟練的取卡， 注意這里， 他帶著手套， 不會破壞掉原本設立好的陷阱。 然后在旁邊機器上以查詢服務為掩護， 等待魚兒上鉤。 在受害人插入銀行卡后， 輸入密碼的時候， 取錢完畢后， 他便利用得到的取款小票（多數人都是取完款， 把小票隨手扔在垃圾筒里面）來仿制出跟你相似的銀行卡， 根據你在鍵盤上的指紋， 來記錄你的取款密碼……剩下的事， 大家就都知道了。

　　作為用戶我們應該怎樣避免這些被盜竊事件的發生？

　　1、網銀用戶輸入密碼的時候采用叉分圖標法， 利用鼠標不斷切換光標來輸入密碼， 以防止被hook跟蹤， 一個星期更換一次個人密碼， 采用手動

　　記錄。

　　2、不要太相信計算機， 把密碼本放在別人不容易找到和看到的地方， 不再使用生日做為密碼， 電話號碼。 手機， 名字大小寫來設立網銀密碼。

　　3、勤打系統補丁， 升級殺毒軟件， 一旦發現網銀損失， 立即報案， 讓*協助追查， 不要想著散財得福， 貽誤捕獲銀行黑客的最佳時機。