超级军网木马“踏破”U盾偷钱30万 嫌疑人称手法没技术含量
来源:百度文库 编辑:超级军网 时间:2024/04/28 11:36:43
被告人琚某利用木马程序,通过互联网专门攻击有网络漏洞的电脑,非法从他人网银中转账,盗取两被害人银行账户内的资金共计30多万元。西城检察院以盗窃罪对琚某提起公诉。昨天,西城法院开审此案,被告人琚某当庭认罪。
案发:网银用户被盗30多万
2010年7月5日,住在北京的苏雨(化名)上网买东西,她使用涉案银行的网上银行付账后,该银行账户中还剩下10800元。一个多月后,她再次上网购物时,意外发现银行账户里的钱都不见了。后经调查,这些钱款被转入了杨某的账户内。苏雨说,她不认识该账户户主杨某。
同年10月14日,汕头市的李刚(化名)准备通过涉案银行的网上银行汇款时,电脑突然出现黑屏。过后,李刚发现自己的银行账户中竟然少了29万余元。李刚向警方报了案。据悉,被害人苏雨和李刚都使用了涉案银行的U盾。
不久,警方将犯罪嫌疑人琚某抓获归案。24岁的琚某来自安徽,仅有初中文化,他来到北京在中关村地区打临工。
庭审:“我的手法没技术含量”
昨天上午,被告人琚某被押进法庭,当庭认罪。在庭审中,被告人琚某交代说,2010年4月,他出于好奇心下载了木马程序,只要侵入他人存在漏洞的电脑中,就可以看到对方电脑的桌面,记录下对方使用键盘的情况。
琚某用自己的电脑远程控制被害人的电脑,使用木马程序获取对方网银的账户和密码,对方插入网银U盾从网上银行转账后,他就用之前获取的网银账户和密码,转走了对方账户中的钱。
西城检察院办案检察官认为,被告人琚某盗窃金融机构内个人账户中的存款,数额特别巨大,应当以盗窃罪追究琚某的刑事责任。检察官建议法院对其在有期徒刑12年至13年之间量刑。
在庭审后,琚某自称心里特别矛盾,“我的手法没什么技术含量……我觉得涉案银行也应该承担责任,它提供的东西没有办法(确保安全)……”当法官询问家属能否退赔被害人损失时,琚某的父亲赶紧说:“回家想办法退钱。”
http://news.xinhuanet.com/newmedia/2011-04/15/c_121309643.htm被告人琚某利用木马程序,通过互联网专门攻击有网络漏洞的电脑,非法从他人网银中转账,盗取两被害人银行账户内的资金共计30多万元。西城检察院以盗窃罪对琚某提起公诉。昨天,西城法院开审此案,被告人琚某当庭认罪。
案发:网银用户被盗30多万
2010年7月5日,住在北京的苏雨(化名)上网买东西,她使用涉案银行的网上银行付账后,该银行账户中还剩下10800元。一个多月后,她再次上网购物时,意外发现银行账户里的钱都不见了。后经调查,这些钱款被转入了杨某的账户内。苏雨说,她不认识该账户户主杨某。
同年10月14日,汕头市的李刚(化名)准备通过涉案银行的网上银行汇款时,电脑突然出现黑屏。过后,李刚发现自己的银行账户中竟然少了29万余元。李刚向警方报了案。据悉,被害人苏雨和李刚都使用了涉案银行的U盾。
不久,警方将犯罪嫌疑人琚某抓获归案。24岁的琚某来自安徽,仅有初中文化,他来到北京在中关村地区打临工。
庭审:“我的手法没技术含量”
昨天上午,被告人琚某被押进法庭,当庭认罪。在庭审中,被告人琚某交代说,2010年4月,他出于好奇心下载了木马程序,只要侵入他人存在漏洞的电脑中,就可以看到对方电脑的桌面,记录下对方使用键盘的情况。
琚某用自己的电脑远程控制被害人的电脑,使用木马程序获取对方网银的账户和密码,对方插入网银U盾从网上银行转账后,他就用之前获取的网银账户和密码,转走了对方账户中的钱。
西城检察院办案检察官认为,被告人琚某盗窃金融机构内个人账户中的存款,数额特别巨大,应当以盗窃罪追究琚某的刑事责任。检察官建议法院对其在有期徒刑12年至13年之间量刑。
在庭审后,琚某自称心里特别矛盾,“我的手法没什么技术含量……我觉得涉案银行也应该承担责任,它提供的东西没有办法(确保安全)……”当法官询问家属能否退赔被害人损失时,琚某的父亲赶紧说:“回家想办法退钱。”
http://news.xinhuanet.com/newmedia/2011-04/15/c_121309643.htm
案发:网银用户被盗30多万
2010年7月5日,住在北京的苏雨(化名)上网买东西,她使用涉案银行的网上银行付账后,该银行账户中还剩下10800元。一个多月后,她再次上网购物时,意外发现银行账户里的钱都不见了。后经调查,这些钱款被转入了杨某的账户内。苏雨说,她不认识该账户户主杨某。
同年10月14日,汕头市的李刚(化名)准备通过涉案银行的网上银行汇款时,电脑突然出现黑屏。过后,李刚发现自己的银行账户中竟然少了29万余元。李刚向警方报了案。据悉,被害人苏雨和李刚都使用了涉案银行的U盾。
不久,警方将犯罪嫌疑人琚某抓获归案。24岁的琚某来自安徽,仅有初中文化,他来到北京在中关村地区打临工。
庭审:“我的手法没技术含量”
昨天上午,被告人琚某被押进法庭,当庭认罪。在庭审中,被告人琚某交代说,2010年4月,他出于好奇心下载了木马程序,只要侵入他人存在漏洞的电脑中,就可以看到对方电脑的桌面,记录下对方使用键盘的情况。
琚某用自己的电脑远程控制被害人的电脑,使用木马程序获取对方网银的账户和密码,对方插入网银U盾从网上银行转账后,他就用之前获取的网银账户和密码,转走了对方账户中的钱。
西城检察院办案检察官认为,被告人琚某盗窃金融机构内个人账户中的存款,数额特别巨大,应当以盗窃罪追究琚某的刑事责任。检察官建议法院对其在有期徒刑12年至13年之间量刑。
在庭审后,琚某自称心里特别矛盾,“我的手法没什么技术含量……我觉得涉案银行也应该承担责任,它提供的东西没有办法(确保安全)……”当法官询问家属能否退赔被害人损失时,琚某的父亲赶紧说:“回家想办法退钱。”
http://news.xinhuanet.com/newmedia/2011-04/15/c_121309643.htm被告人琚某利用木马程序,通过互联网专门攻击有网络漏洞的电脑,非法从他人网银中转账,盗取两被害人银行账户内的资金共计30多万元。西城检察院以盗窃罪对琚某提起公诉。昨天,西城法院开审此案,被告人琚某当庭认罪。
案发:网银用户被盗30多万
2010年7月5日,住在北京的苏雨(化名)上网买东西,她使用涉案银行的网上银行付账后,该银行账户中还剩下10800元。一个多月后,她再次上网购物时,意外发现银行账户里的钱都不见了。后经调查,这些钱款被转入了杨某的账户内。苏雨说,她不认识该账户户主杨某。
同年10月14日,汕头市的李刚(化名)准备通过涉案银行的网上银行汇款时,电脑突然出现黑屏。过后,李刚发现自己的银行账户中竟然少了29万余元。李刚向警方报了案。据悉,被害人苏雨和李刚都使用了涉案银行的U盾。
不久,警方将犯罪嫌疑人琚某抓获归案。24岁的琚某来自安徽,仅有初中文化,他来到北京在中关村地区打临工。
庭审:“我的手法没技术含量”
昨天上午,被告人琚某被押进法庭,当庭认罪。在庭审中,被告人琚某交代说,2010年4月,他出于好奇心下载了木马程序,只要侵入他人存在漏洞的电脑中,就可以看到对方电脑的桌面,记录下对方使用键盘的情况。
琚某用自己的电脑远程控制被害人的电脑,使用木马程序获取对方网银的账户和密码,对方插入网银U盾从网上银行转账后,他就用之前获取的网银账户和密码,转走了对方账户中的钱。
西城检察院办案检察官认为,被告人琚某盗窃金融机构内个人账户中的存款,数额特别巨大,应当以盗窃罪追究琚某的刑事责任。检察官建议法院对其在有期徒刑12年至13年之间量刑。
在庭审后,琚某自称心里特别矛盾,“我的手法没什么技术含量……我觉得涉案银行也应该承担责任,它提供的东西没有办法(确保安全)……”当法官询问家属能否退赔被害人损失时,琚某的父亲赶紧说:“回家想办法退钱。”
http://news.xinhuanet.com/newmedia/2011-04/15/c_121309643.htm
■检方提示
对琚某这种“高科技”盗窃手段,西城检察院刘文惠检察官提示广大网银用户可用三招予以防范:
一是网银用户应经常更新计算机杀毒软件,及时杀毒,定时清理电脑内的木马程序,弥补系统漏洞。
二是不要随意透露网银密码,密码设置应当尽量复杂,不使用身份证号码、自己或家人的生日等,也不要使用和QQ、BBS等程序登录密码相同的密码,察觉有泄漏可能时应当及时更换。
三是对于使用U盾的网上银行用户,在完成网上银行操作后应当及时拔下U盾,以避免给犯罪分子以可乘之机。
■小资料
U盾,即工行2003年推出并获得国家专利的客户证书USBkey,是工行为客户提供的办理网上银行业务的高级别安全工具。它外形酷似U盘,像一面盾牌,时刻保护着客户的网上银行资金安全。
从技术角度看,U盾是用于网上银行电子签名和数字认证的工具,它内置微型智能卡处理器,采用1024位非对称密钥算法对网上数据进行加密、解密和数字签名,确保网上交易的保密性、真实性、完整性和不可否认性。(武新)
http://news.xinhuanet.com/newmedia/2011-04/15/c_121309643_2.htm
对琚某这种“高科技”盗窃手段,西城检察院刘文惠检察官提示广大网银用户可用三招予以防范:
一是网银用户应经常更新计算机杀毒软件,及时杀毒,定时清理电脑内的木马程序,弥补系统漏洞。
二是不要随意透露网银密码,密码设置应当尽量复杂,不使用身份证号码、自己或家人的生日等,也不要使用和QQ、BBS等程序登录密码相同的密码,察觉有泄漏可能时应当及时更换。
三是对于使用U盾的网上银行用户,在完成网上银行操作后应当及时拔下U盾,以避免给犯罪分子以可乘之机。
■小资料
U盾,即工行2003年推出并获得国家专利的客户证书USBkey,是工行为客户提供的办理网上银行业务的高级别安全工具。它外形酷似U盘,像一面盾牌,时刻保护着客户的网上银行资金安全。
从技术角度看,U盾是用于网上银行电子签名和数字认证的工具,它内置微型智能卡处理器,采用1024位非对称密钥算法对网上数据进行加密、解密和数字签名,确保网上交易的保密性、真实性、完整性和不可否认性。(武新)
http://news.xinhuanet.com/newmedia/2011-04/15/c_121309643_2.htm
U盾被攻破?不可能吧。
没这么简单吧
不是u盾被破解,而是u盾没有及时拔出,远程控制转账
u盾最后不是要按键的吗?这个怎么控制?
什么吗 发表于 2011-4-16 09:25 ![]()
正解,正如犯罪嫌疑人自己说的确实没有技术含量,用的是最最原始的化石级黑客技术。
正解,正如犯罪嫌疑人自己说的确实没有技术含量,用的是最最原始的化石级黑客技术。
不就是远程控制啊,说得那么神秘
其实电子口令卡要比U盾安全,只是如今银行为了赚那一笔U盾的钱昧着良心说U盾安全,还限制电子口令卡的使用。
其实电子口令卡要比U盾安全
==================
U 盾其实是电子证书, 比只有几位数字靠和银行系统同步的电子口令卡安全吧.:L
==================
U 盾其实是电子证书, 比只有几位数字靠和银行系统同步的电子口令卡安全吧.:L
屠城校尉 发表于 2011-4-16 11:30 ![]()
U盾的通讯过程是有漏洞可钻的,电子证书也是可以仿冒的。
而电子口令卡的那几位数字却是一个伪一次一密的认证过程,想仿冒口令卡认证有两个方法:第一攻破银行口令卡认证数据库,第二破解口令卡生成算法,还要攻破银行卡数据库得到卡号和随机发放的口令卡的对应关系。
无论哪一个都不如直接绑架卡主叫他交出银行卡密码。
U盾的通讯过程是有漏洞可钻的,电子证书也是可以仿冒的。
而电子口令卡的那几位数字却是一个伪一次一密的认证过程,想仿冒口令卡认证有两个方法:第一攻破银行口令卡认证数据库,第二破解口令卡生成算法,还要攻破银行卡数据库得到卡号和随机发放的口令卡的对应关系。
无论哪一个都不如直接绑架卡主叫他交出银行卡密码。
还是动态密码好
秦国大将猛舔 发表于 2011-4-16 11:18 ![]()
二代u盾可比口令卡安全多了,不要被这篇报道误导了,记者基本一bc
二代u盾可比口令卡安全多了,不要被这篇报道误导了,记者基本一bc
口令卡数字少, 听银行说有被破过的.;funk
未来闪影 发表于 2011-4-16 15:53 ![]()
不存在2代U盾,就像不存在“MP5”一样。
不存在2代U盾,就像不存在“MP5”一样。
屠城校尉 发表于 2011-4-16 16:18 ![]()
哦?请告知具体案例。
哦?请告知具体案例。
U盾是不可能破解的,此中必有其它原因。
秦国大将猛舔 发表于 2011-4-16 11:18 ![]()
电子卡有使用的次数限制,而且金额上好像不如U盾大额。
电子卡有使用的次数限制,而且金额上好像不如U盾大额。
壮圆郎 发表于 2011-4-16 16:47 ![]()
是啊,这是银行故意设置的。
是啊,这是银行故意设置的。
是啊,这是银行故意设置的。
===============
安全系数低咯.;P
===============
安全系数低咯.;P
秦国大将猛舔 发表于 2011-4-16 16:21 ![]()
现在的工行u盾需要两次手工按ok,才能支付成功。安全性不比口令卡差,没必要推一个、贬一个
现在的工行u盾需要两次手工按ok,才能支付成功。安全性不比口令卡差,没必要推一个、贬一个
u盾没及时拔出被人远程操纵,风险确实不小。电子口令卡应该是很安全而且低成本的,通过时间同步和口令卡编号按一固定算法计算出口令,一次一密,即便密码被人截获,下次也不能用。除非对方能破解加密算法并知晓口令卡编号,这技术含量就相当高了。
未来闪影 发表于 2011-4-16 18:07 ![]()
对本案例远程控制手工按ok也是无解的吧,U盾貌似无法防范这种低级的黑客技术,以前的口令卡倒是可以。
对本案例远程控制手工按ok也是无解的吧,U盾貌似无法防范这种低级的黑客技术,以前的口令卡倒是可以。
看来楼上没用过u盾啊
minijia 发表于 2011-4-16 18:49 ![]()
呵呵,你用过u盾后就不会这么说了,远程控制我的手?
呵呵,你用过u盾后就不会这么说了,远程控制我的手?
U盾的通讯过程是有漏洞可钻的,电子证书也是可以仿冒的。而电子口令卡的那几位数字却是一个伪一次一密的认证过程,想仿冒口令卡认证有两个方法:第一攻破银行口令卡认证数据库,第二破解口令卡生成算法,还要攻破银行卡数据库得到卡号和随机发放的口令卡的对应关系。
无论哪一个都不如直接绑架卡主叫他交出银行卡密码。
未来闪影 发表于 2011-4-16 22:43 ![]()
这个确实应该是相当安全的。
man-in-the-middle也有可能威胁到它,只不过技术难度很高,不是一般犯罪分子可能掌握的。
这个确实应该是相当安全的。
man-in-the-middle也有可能威胁到它,只不过技术难度很高,不是一般犯罪分子可能掌握的。
未来闪影 发表于 2011-4-16 22:43 ![]()
是呀,我是怀疑另有隐情,因为U盾是需要用手动按OK键的
希望能公布细节,好做好防患
是呀,我是怀疑另有隐情,因为U盾是需要用手动按OK键的
希望能公布细节,好做好防患
未来闪影 发表于 2011-4-16 22:43 ![]()
哦, ok键在U盾上? 我用的建行的u盾,貌似没这玩意。
哦, ok键在U盾上? 我用的建行的u盾,貌似没这玩意。
未来闪影 发表于 2011-4-16 18:07 ![]()
认证过程的安全性和你按几次OK没有关系。
认证过程的安全性和你按几次OK没有关系。