文/防黑刀 阿林
上个月交电话费和网费时发现比以前多了100多块,她告诉防黑刀自己怎么也想不明白,ADSL是包月上网,怎么可能多出来这么多钱呢? 她先到了电信部门去查询,发现费用清单上显示的主要费用是QQ个人账户充值、观看在线电影、注册付费电子信箱等服务,她欲哭无泪地望着防黑刀说,自己根本就没用过这些服务啊。ADSL账号为何被盗?
案情分析:
几种盗取宽带账号的方法
1.使用查看“*”号密码的软件
很多用户为了方便,都在拨号软件中选择保存密码,在Windows XP版本以下的系统中,保存的密码都以“*”显示,这样就不用每次上网都输入密码了。保存密码在方便自己的同时,也增加了自己的危险性。如果有不怀好意的人接触你电脑,利用查看星号密码的软件,就可以很容易地知道星号背后真正的密码。
2.使用读取拨号网络密码的专用工具
由于ADSL使用的都是虚拟拨号,比如常用的ADSL虚拟拨号软件RASPPPOE、WinPoET。安装这些软件的同时,也在Windows的拨号网络中建立了一个拨号连接,在Windows XP版本以下的系统中,除了使用查看星号密码的方法以外,黑客们还可以利用读取拨号网络密码的专用工具来读出ADSL账户的用户名和密码。这样的工具有Dialupass等。
小苦瓜回忆了上个月的情况,觉得这两种可能性都很小,因为她在家上网,没有其他朋友用过自己的机器,家里人自然不用担心会盗取账号。防黑刀若有所思地说道,那你遇到的肯定不是本地黑客!
突击侦破:
有人远程盗取了ADSL账号
漏洞和弱口令是网络安全的两大隐患。现在,网络上有些不法分子利用IE6的漏洞,制作网页木马,盗取用户的各种账号,虽然以盗取网络游戏账号为主,但是,也有些人使用最新的网页木马盗取宽带上网账号。此外,就是利用一些扫描工具扫描弱口令的机器,从而轻松盗取宽带账号。下面就看看黑客到底是怎么作案的!
1.制作网页木马盗取账号
1)他们利用IE6的漏洞制作网页木马的方法是使用一个叫做exe2bmp的工具。exe2bmp可以将一个.exe可执行文件生成同名的.bmp、.asp、.htm三个文件。将这三个文件放到支持ASP的空间里边,当别人打开.htm网页文件的时候,先前的.exe木马将被自动下载到对方的硬盘并运行。
2)由于exe2bmp的使用很简单,所以有一点安全常识的初级黑客也能轻松使用它。现在来看看它们的使用过程。运行exe2bmp后,单击“选择”按钮,选择准备好的木马文件,单击“生成”按钮,就会在木马文件所在的文件夹中生成三个文件。
现在,黑客只要把生成的这三个文件上传到支持ASP的个人空间中,而你又不幸浏览了这个HTM的网页,那么“恭喜”你,你中了。你的账号也就等着拱手送人吧。
真是恶毒啊,这不是防不胜防吗!小苦瓜愤然说道。防黑刀看着小苦瓜摇摇头苦笑道,这还不止呢,这种方式对于黑客来说相对被动,他们还会主动出击。
2.扫描弱口令机器获得账号
密码是电脑安全的一把锁,很多人安全意识不足,给电脑设置十分简单的密码,甚至很多人都不设置密码,这就是所谓的“弱口令”。别人可以很容易地进入电脑,取得账户密码。
1)黑客首先会运行流光、X-Scan等扫描工具,这里我们来看看黑客运行流光后是如何操作的。按“Ctrl+A”快捷键,调出流光的“高级扫描设置”,在起始地址和结束地址中指定一个IP范围,这个IP范围的选取需要选择中国电信ADSL宽带上网的IP段。黑客会先使用显IP版本的QQ登录自己的QQ,在QQ上选择一个采用ADSL拨号上网的好友,扫描他所在的IP段。一般这样的IP段中的电脑都是些使用ADSL的家庭个人电脑,采用弱口令的机器也较多。目标系统选择“Windows NT/2000”,检测项目中只在IPC前面的复选框中打钩,其他的全部不选取(如图所示)。
2)设置好以后,单击“确定”按钮完成设置。打开“选择流光主机”对话框,直接单击“开始”按钮开始扫描。
3)不一会儿扫描结果就出来了,一般每个这样的IP段中有一到三台弱口令的机器。
黑客得到了目标机的IP、账号和密码后,直接打开IE浏览器,在地址栏输入file:////ip/c$" target=_blank>\ip\c$回车,稍等就会出现一个要求输入用户名和密码的对话框。
4)直接输入扫描得到的用户名和密码,单击“确定”按钮就可以看到对方C盘下的所有文件,黑客可以像操作自己文件一样,管理你的文件。
不过黑客可能并不会删除你的文件(当然也不排除吃鱼不吐骨头的狠角色),他的目的是为了得到对方的上网账号和密码,他们会进入Program Files文件夹,寻找对方的ADSL拨号软件的安装目录,在Windows XP版本以下的系统中,大部分人一般使用的都是电信安装的Enternet300/500,而且一般都安装在C盘。
5)进入c:\Program Files\Efficient Networks\EnterNet 500\app文件夹。里面的“EnterNet.ini”中保存有对方的上网账号和密码,用记事本打开“EnterNet.ini”文件,里面UserName=后面的字符就是对方的上网账号,Password=保存的是密码,可惜加密过了。
解密很复杂,不过黑客还可能使用更简单的方法。把EnterNet.ini文件复制到他自己机器上的Enternet 500安装文件夹的相应位置覆盖掉相应文件,然后在他的机器上运行Enternet 500就可以使用查看星号密码的方法得到远程主机上的宽带账号和密码了。
一般而言,黑客拿到账号后,通常会登录中国电信互联星空的网站(www.chinavnet.com)去注册。用注册的用户名在网上购买付费服务,这些费用都将由绑定的支付账号来完成支付,从申请这个宽带账号的电话号码电话费中扣除。
小苦瓜突然顿悟地嚷道,终于搞明白自己费用猛涨的原因了!可我被盗的账号咋弄回来啊?以后有什么办法能防止自己的宽带账号再次被盗呢?不急不急,我有办法,防黑刀自信地说道。
防黑刀支招:
防范宽带账号密码被盗及其补救措施
1.针对本地盗号的防范。不要勾选自动保存密码选项;设置复杂的开机密码,也可以有效防范通过扫描弱口令机器获得账号密码的黑客。
2.针对木马盗号的防范。在微软主页下载并安装IE漏洞的补丁,对于IE6以下版本的用户,更要升级到IE6,然后安装该补丁(补丁下载地址:www.microsoft.com/china/technet/security/bulletin/ms03-032.asp )。
3.宽带账号密码被盗后的补救措施。如果发现交费清单上增加了莫名条目,就应该怀疑是否自己的账号被他人恶意注册了,你可以去互联星空首页(www.chinavnet.com),点击页面顶端的登录,选择宽带用户,直接输入你的上网账号和密码,选择省份,输入验证码单击确定即可登录。登录以后,点击“我的星空”就可以在“用户信息”里面选择“我要销户”来注销自己的账户。
