小心网络盗贼三板斧的侵袭

6/6/2007来源:安全在线人气:5963

  现在越来越多的网民、游戏玩家遇到过QQ号、网游账号,甚至网上银行账号被盗。网上窃贼已经从早期的单兵作战,发展到盗号销赃一条龙。针对网络盗窃,一方面存在调查取证难,二是有关立法司法严重滞后,使得网络盗窃的风险远比普通盗窃要低很多。如何保护自己的网络财产?成为网民普遍关心的问题。

  其实网络盗贼常用的手法,不外乎“猜”、“骗”、“偷”三板斧。

  相关推荐:不再为安全担心 网上交易安全防范手册

  一“猜”

  这一招是最没有技术含量的,就是盗贼获得你的账号信息后,尝试猜解账号密码。我曾看到过CCTV有期节目,说福建某地查获一批小盗贼,他们在受害人银行提款时,记录银行账号,拿到账号后,就尝试猜解密码,按说这应该是非常困难的,但是他们却缕缕得手,其原因就是太多人使用的口令非常容易被猜到。很多人的口令与出生日期、车牌号、电话号码关联,这样自己记起来是容易,小偷偷起来更容易,最要命的是,不少人的口令只用一个,比如MSN,QQ,网游账号,用的都是一个,一把钥匙开所有的门。

  防止密码被猜中的方法很简单,使用位数更长,也更复杂的密码吧,自己牢记在心,别写在纸上或者记录在任何电子文件中,让贼去猜,累死他,呵呵。

  二“骗”

  曾经有个真实案例,某地小区发现一个新建的储蓄所,外观和其它银行并无二致,小区居民觉得不错,银行开到家门口,当然是方便了。有个银行的工作人员从这家即将建好的储蓄所经过,觉得太陌生,打了个电话咨询上级,发现根本没有在本地建储蓄所有情况,打电话报警,警方调查的结果令人大吃一惊,这根本就是个假银行。而在网络上,这种类似假银行的就不再是个案,而是随处可见。稍不留神,你可能就进假银行办业务了。专家给这种“骗”取了个形象的名字——网络钓鱼。

  防止被骗,首先要练自己的眼力,和对付面对面的骗子一样,千万别因贪心而被骗。认准自己常去的网站,在你准备输入账号密码时,再检查一遍地址对不对,在线交易时要特别留神。也有协助你防骗的技术手段,比如金山毒霸的网络反钓鱼功能,支持模糊匹配保护白名单,发现和白名单特别像的连接会提醒访问者,但切记技术不是万能的,关键还的靠自己。

  三“偷”

  在这三板斧中技术含量最高,窃贼在受害者登录的电脑上种植木马,偷盗用的木马通常有两类,一类是通用木马,可以远程控制受害人电脑,被远程控制的电脑一举一动都可能被远程控制者观察到,或者通过键盘钩子监视受害电脑的每个击键动作,将日志文件发送到远程攻击者分析。这类手法需要分析的数据量太大,不利于分析大量目标,严重影响作案效率。另一类就是精确制导了,比如广泛存在的QQ盗号木马、魔兽盗号木马、征途盗号木马、网银大盗等等。这类木马只监视特定目标,可以通过键盘钩子,也可以捕获鼠标指针周围一定像素的屏幕图像,即使网络银行,网络游戏的登录窗口使用虚拟键盘,也一样被盗。最近一个朋友说他的网络银行账号里被人分10多次偷了1万多元,盗窃者通过木马窃取了受害者的网络银行登录账号密码,因为使用的是网络银行大众版,日消费转帐上限为1000元,盗窃者多次完成交易,使得该盗窃者留下多处盗窃痕迹。这里需要指出的是,因为网络银行大众版的证书是公用的,窃贼只要偷到账号密码就算得手了,其安全性备受质疑。网络银行专业版需要同时偷走账号密码和证书,证书在尝试恢复时,系统会通过短信或邮件通知用户,并且证书的恢复过程中还多了输入口令的环节,安全性要高得多。

  防被偷,就需要防木马,用网络银行专业版取代大众版,只在安全的电脑上登录。杀毒软件是很好的辅助工具,但是别迷信杀毒软件的报告。任何一款杀毒软件都不能保证你的系统不被植入木马,如果谁说可以,一定江湖骗子。比如,我在网吧登录QQ或网络游戏时,首先会看看进程,当然这不适用于一般用户,进程启动项,只有专业玩家才能看明白。普通用户可以这么干,打开一个记事本,随便写多段字串,其中含有登录密码,多次使用剪贴板复制密码的多个部分,组成真正的密码,将其粘贴到登录窗口,一定程度上可以避免号码被盗。还有,将你的QQ号,网游账号和手机绑定,方便你被盗后追回你的账号。