北美网备份站

标题: 网上银行不安全? 小心骇客利用路由攻击 [打印本页]
作者: 北美生活网    时间: 2015-8-10 11:32
标题: 网上银行不安全? 小心骇客利用路由攻击
$ `2 b1 q3 P4 t* y% Y/ S
路由器漏洞威胁网上银行安全
" g: g+ @' x, ~  }: C2 `( o
& R& q( {) B" M7 _5 A
; @% S3 x$ A0 ]* G  L8 M( n  据国外媒体报道,近日在波兰发现了大量通过对家用路由器进行骇客攻击的网络犯罪行为,这些骇客利用家用路由器的漏洞和用户的疏忽,来更改路由器上的DNS(Domain Name System,域名系统)设置,令他们能够拦截用户连接网上银行的请求,进而伺机盗取用户的财产。( |. @6 x& C; a, x- m* V
  路由器漏洞威胁网上银行安全; B4 c' K; z. s
  来自波兰计算机紧急响应小组(Polish CERT)的研究人员相信在未来,骇客会使用类似的技术针对其他国家的网络用户进行攻击。“由于市面上一些家用路由器存在安全漏洞,令针对网上银行的攻击随时可能发生,骇客往往利用容易获得的、无需授权的远程权限来修改路由器的DNS配置”,波兰CERT研究人员在其博客中提到。+ i. r' J$ l( z/ ?3 O3 T
  一般来说,为了方便用户访问互联网,当我们使用路由器上网访问网站时,会有通过DNS服务器来解析域名到IP(互联网协议)地址的过程,而如果攻击者利用路由器的漏洞侵入其中,修改了路由器的DNS配置,攻击者就可以将正常网站的域名解析到错误的地址上。随后假如攻击者在这个目标地址上搭建一个钓鱼网站,那么在这个钓鱼网站上输入的账号、密码信息就会被盗。& L, C1 F5 u* Q- {8 _
  而在最近的网上银行攻击事件中,骇客就是利用家用路由器的漏洞将DNS的配置进行了篡改。用户访问了骇客所掌控的WEB页面,而由于该WEB页面并没有特别的恶意代码,所以可以成功躲过安全软件的检测,进而导致大量用户被DNS钓鱼诈骗。
* H. V" N4 k5 W# h& i  在大多数情况下,用户会首先连接到该银行在纯HTTP下的主网站 ,然后点击其中一个按钮或链接来访问的网上银行的登录页面,来启用了SSL网站的安全部分。而对于骇客的问题是,这些银行网站使用的是HTTPS页面通道——一种HTTP与SSL加密相结合的技术,使骇客无法模仿银行颁发由证书颁发机构提供的有效数字证书。, M( H2 H4 A6 S8 {1 N
  因此,攻击者一般会使用不太复杂的称为SSL剥离的技术,来进行DNS欺骗。即利用许多银行不是在整个网站上使用SSL加密技术,而只是在其网上银行系统上使用该技术的情况,对用户的访问实施拦截。1 t3 v5 d& v5 K+ A( ^/ q3 ?/ z1 [
6 x' p: b" X: x6 m7 W
中间人攻击图示
  这种攻击手法也被称为“中间人攻击(Man-in-the-Middle Attack,简称MITM攻击)”,骇客通过该方式拦截用户访问网络银行网站,利用DNS欺骗、会话劫持(Session Hijack)等手法进行拦截数据——修改数据——发送数据,以达到欺骗网络用户,实施窃取用户网上银行资产的目的。
3 _2 w' _1 |8 f  S8 I  i    那么如何阻断攻击者利用家用路由器存在的安全漏洞或路由器设置的疏忽,有效提升网络银行的访问可靠性呢?
  A/ b$ b2 J1 F) ^2修改默认密码 防止DNS漏洞& {' k- O( s4 i
  修改默认密码 防止DNS漏洞$ e  [0 i" f  l; J0 ?% t0 a* Q
  波兰CERT研究人员发现市面上一些家用路由器存在权限漏洞,该漏洞允许攻击者无需身份验证,即可获取包含路由器配置等信息。而攻击者通过获得的权限,利用远程访问家用路由器的管理界面,并进行DNS配置的修改等操作。# g; B" d5 f/ T1 p
  研究人员Jaroszewski称,“其实在之前的家用路由器上,也有很多方法来修改DNS的配置,只不过这次是我们第一次看到以盈利为目的的大规模骇客攻击行为,不得不引起大众的重视。”
2 x9 R; u9 B1 ^3 _0 o  那么对于路由器存在的权限漏洞,大家又该如何进行防范,来规避风险呢?为了保护家用路由器免受攻击,首先要保证修改路由器的默认管理密码。同时,任何类型的从互联网的远程管理访问都应该被禁止。最后,保持使用最新的路由器固件。  ~* G% {/ }% u! j+ u# ^
  具体操作方法如下:* w  X+ `% j6 I  j
  首先,手动修改路由器的默认管理密码。
* R+ L0 Q- o4 O& G9 Q" y  在IE浏览器的地址栏中输入路由器默认地址(一般可从路由器的铭牌上找到,如http://192.168.1.1) 。使用路由器的默认用户名进行登录,一般均为admin,密码也是admin,点击“确定”。
( [8 r" L8 N  y- R4 ]  h

, f# E$ U/ H( }" n3 u) v7 P5 n对路由器的默认管理密码进行修改
  填写正确后,进入路由器的“系统管理”选项中找到“密码设置”对路由器的管理密码进行修改,如上图所示。6 x; ^7 M4 j# L
  随后,关闭“远程管理”或“远程WEB管理”功能。一些路由器提供“远程管理”或“远程WEB管理”权限,找到它们后,手动关闭它们来确保路由器的管理安全,如下图所示。  W( k& q, E0 C, Z

5 }/ j! D$ K2 Y; L. C3 [9 D8 y关闭“远程管理”功能
) m8 `3 V* A3 @( f+ M
关闭“远程WEB管理”功能
  最后,升级在路由器的官网找到最新的产品固件,通过路由器配置界面中的“固件升级”选项升级即可。8 P1 L  Y$ Z( H5 h% I
* @$ {+ G8 \! t
通过“固件升级”使用最新的路由器固件,来提升路由器的安全性。
  综上所述,通过对简单的路由器配置修改,来提升家庭网关的远程管理安全性,保障网上银行的安全应用环境,从而避免受到骇客的非法入侵或DNS欺骗,规避不应有的网络支付风险,防止受到不必要的经济损失。
2 _+ [1 d9 `! W% u, g( K
作者: 北美生活网    时间: 2015-8-10 11:43
用手机,ipad上网,最重要的就是防备钓鱼网站。  J  @! ~& \: q+ ^* U

1 {$ l$ t1 O) u. B" u) J5 A! {6 X  N8 O5 |- E+ |
警惕钓鱼网站不少账户被盗的案例其实是因为访问了钓鱼网站。他们伪装成正规的银行页面或是支付页面,骗取你输入的帐户名和密码,而这未必一定需要通过WiFi热点这种方式来实现,任何上网的方式都有可能上当。不过,公共的WiFi确实提供了植入钓鱼网站的潜力,利用ARP欺骗,可以在用户浏览网站时植入一段HTML代码,使其自动跳转到钓鱼网站。从这个角度说,公共WiFi网络为用户提供了一个便利的钓鱼环境。
7 @" r6 a* a8 m6 b避免被钓要注意使用安全。一方面,需要对别人发来的网络地址多留心,因为这个地址可能非常接近如淘宝、网上银行的域名地址,打开的页面也几乎和真实的页面完全一致,但是实际你进入的是一个伪装的钓鱼网站;另一方面,尽量选择具有安全认证功能的浏览器,这些浏览器能够自动提示你打开的页面是否安全,避免进入钓鱼网站。对于智能手机用户,在下载和交易有关的客户端软件时尽量选择官方渠道下载,不要安装来路不明的客户端。
/ }4 v0 {' ]; t2 O- W4 u' w/ E$ C
/ D9 a' D  o1 T' R" g6 k
! D# z6 f  a, k1 B8 D! h4 e, U7 B) a, _手机银行如何保障安全用户可通过手机上的专门客户端程序,通过WAP方式与银行系统建立了连接,并进行账户查询、转账、缴费付款、消费支付等金融服务,这种方式被称为“手机银行”。与一般上网方式显著不同的是,其网址的头三个字母是WAP。手机银行的帐户信息是经过静态加密处理的,而且与手机绑定,假使他人盗取了你的账户信息,但其它手机上也无法操作。经与工行客服核实,他们称现在为了方便用户,允许非指定手机操作手机银行账户了,但允许操作的资金额度很低。/ {) H! l8 q5 [% u6 [
最重要的是,手机银行还有认证手段。加密的原理很简单,其目的是让非授权用户即使获取了数据也无法利用,而认证则是对数据是否篡改、接收数据的人是不是授权用户等方面的审查措施,用来保证数据是真实可靠的,接收者是被授权的。从采用的具体技术和算法而言,加密与认证并没有明显的区别,但从功能角度而言,两者非常不同,相互不能取代,并可通过有效配合而达到很高的安全性。
2 m+ P% R, v1 Q) S你输入了正确的帐号和密码,当进行涉及到账户资金变动的操作时,手机银行会提示你输入特定的电子口令,而电子口令卡就是一种有效的认证手段。例如下图就是张工行的电子口令卡,它发来信息C5H8,你就要在相应的输入框里输入138141,而且银行每次发来的信息都不会相同。
8 R8 p) ^5 _* k3 z
工行的电子口令卡

& N8 }: h+ t% W' }: i: b" m不同的银行可能会采用不同的认证方法,比如建行就是通过绑定手机发送手机验证码,但都起到了类似的作用。
" ]5 `$ h- @% d: a1 T3 _" G. z. S3 U6 g% K+ k* G  z2 ~1 r
个人网上银行如何保障安全个人网上银行会采用https的加密协议来保障交易安全,结尾比你常见的http多了个s。你在电脑上输入个人网上银行地址,当跳转到账户信息输入页面时,网址栏就由http变为https了,而且在最后面还多了一只小挂锁,这寓示着通过这个页面输入并传送的数据,会被128位的加密算法进行加密,只有银行方面才能正确解密,即使这些加密数据被黑客全部拿到,也毫无用途。
9 ?- c, i5 i5 b+ V$ t
网银和支付宝的https页面和小挂锁标示,点击黄色小挂锁,就会弹出“网站标识”框,可查看证书情况。

; _1 J- }3 H+ ^3 h$ A而且,用电脑通过https方式访问个人网上银行时,还有认证手段的保护,操作帐户资金限额的大小与认证手段的强度相匹配,电子口令卡的认证强度低,能操作的资金少,而U盾的认证强度大,能操作的资金就多。使用https协议与个人网上银行进行连接,这是银行为了保证安全而采取的强制措施,通过非加密协议传送的信息是不会被银行所接纳的。
: i  b1 D  M6 H) S% e用过个人网上银行的网友都会知道,使用前必须安装银行提供的安全控件,否则帐户信息栏是灰色的,根本无法输入任何信息。而手机的系统无论是苹果、安卓、还是塞班,统统都不支持这个控件,根本就安装不了,帐号自然无法输入,被盗取更是毫无可能。9 G9 ^6 y3 w+ ^6 d4 _! ^
有些高水平玩家会在手机上装虚拟机,这倒是可能安装上银行的安全控件并成功操作个人网上银行,这时手机就已可看作是个简版电脑了,自然也要跟使用普通电脑一样,通过https这种安全协议与个人网上银行进行数据交换。) v3 K$ n: k7 Q* R. [) p( m
% W$ `# ]9 m8 l6 V5 ^/ U
. j7 j1 j9 F+ H! G0 h* g
结论: 银行账户是否安全与手机是否是通过免费的WiFi上网,并没有必然的联系。使用基于WAP客户端的手机银行是安全的,用电脑通过https使用个人网上银行也是安全的,但不要用手机上个人网上银行,现在绝大部分银行也还不支持这项业务。用电脑上个人网上银行时,请核实下https和地址栏后面的小挂锁标志。
' p* W# f& J4 _/ i) v4 [" e0 b
) I' w5 @8 }' D- Z
% D1 J. ]& _5 D: w$ e6 p* e



欢迎光临 北美网备份站 (http://beimeilife.duckdns.org/) Powered by Discuz! X3.2