16万巨资网上蒸发的背后——木马帝国成黑色暴利产业
头条
电脑病毒,正在像瘟疫一样,威胁着日渐兴旺的互联网世界。
最严重的挑战,则是当病毒从破坏文件系统演化到窃取信息、出售病毒,不但实质上“变成了牟利的黑色产业”,更让人们在形势堪忧的互联网安全面前不知所措。
网上银行被盗16万元
对33岁的上海人蔡中来说,他陷入了一生最大困惑之中。
2007年3月10日,蔡中在自己笔记本上查询股票账户情况时,突然发现自己的银证通账户下显示资金余额只有36.62元。
吓了一大跳的蔡中赶紧登录自己的中国建设银行(下称建行)网上银行账户,却始终无法登录。95533客服代表告诉他,蔡中两个账号下共计163204.5元分11次被转账走了,交易地址指向了云南,但资金却已被取走。
“这怎么可能?不是说网银交易是很安全的么?”蔡中对本报记者回忆道,两天前,自己刚往两个账户上存进19万元。
1998年,身为上海一家外资软件开发公司总经理的蔡中有了上海建行的理财白金卡,成为上海建行的VIP用户。后来,他申请成为网上银行签约客户,并下载了数字证书。
3月10日,蔡中向公安机关报案,不过,这笔被转走的资金仍然下落不明。
“我怀疑网上银行有不安全因素。”3月12日,蔡中疑惑地表示,他并没有丢失过银行卡,也没有泄露过密码等相关信息,甚至自己的电脑也没有被人用过。
建行上海分行一位客服人员在接受本报记者采访时表示,银行会积极配合警方查找被盗款项,一切都以警方调查结果为准。蔡中报案的上海浦西刑侦六大队则对本报记者称,此案正在调查之中,目前不方便透露任何消息。
据了解,截至2006年年底,中国企业网银注册用户达到100多万户,个人网银注册用户达到3500多万户,网上交易总额为40多万亿元。
因此,如此庞大的用户群体中,受害者并不止蔡中一个,类似事件在其他银行也时有发生。
网银失窃后的黑客影子
根据本报记者了解,目前,国内网上银行一般分为专业版和普通版,前者比后者要多一个专门的数字证书作为身份识别。两者安全性不同,操作权限也不同。
建行电子银行部一名经理在接受本报记者采访时说,普通版上,目前大多数国内银行采用输入账号和密码的方式登录;而专业版则需要成为网上银行的签约客户,并须下载一份数字证书,只有将数字证书导入电脑,才能在该台电脑上登录,并进行网上银行交易。
网上银行数字证书由中国金融认证中心(CFCA)在2000年推出,目前与国内10多家银行建立了业务联系——用来保证客户证书的私钥不被窃取和复制。CFCA总经理李晓峰对此作了个形象的比喻:“在现实生活里,派出所会给我们发身份证,在虚拟的网络世界里,数字证书就是一张网上数字身份证,具有唯一性和可靠性。”
建行电子银行部产品管理处经理寇冠也称,“有了数字证书后,技术上黑客利用木马是攻击不到的,因为它藏在IE的某个位置,木马是无法找到的,编程也是没法找到的,至少目前是这样。”他表示,目前,建行为客户提供的安全工具有数字证书、USB Key用户证书载体两种。既可下载到客户端主机硬盘(软证书)单独使用,又可与USB Key载体绑在一块(硬证书)应用。
“网上银行数字证书能为电子商务双方提供三个保证。”李晓峰介绍,一是能保证交易双方身份真实确定;二能保证交易数据完整、不可窜改;三能保证交易后双方不能抵赖。“因此,到目前为止还不存在黑客攻破数字证书的先例。”
那么,蔡中按银行要求下载了数字证书,为何网银还是被盗了呢?
“用户的数字证书能被黑客获得,因为黑客通常获得的不仅是你的用户名和密码,还可能是其他个人信息。”一名银行内部人士猜测说,如果用户上不良网站、不及时修补计算机IE浏览器或系统存在的漏洞,证书就有被偷走的风险。
一位金山毒霸反病毒专家也持相同的观点:“网银频频被盗背后,活跃着木马病毒的影子。”
“木马病毒”是一些表面上看似有用的电脑软件,实际上却是危害计算机安全并导致严重破坏的程序。它可以成为别人控制计算机的“后门”,从而窃取用户的信息。
互联网安全形势令人忧
中国互联网络信息中心公布的最新数据显示,截至2006年上半年,中国的互联网用户已经接近1.4亿,上网电脑总量也接近了6000万台。与上一年同期相比,这两个数字都保持了两成以上的增速。这无疑为网络传播病毒的滋生和迅速蔓延提供了难得的温床。
虽然在2月12日,湖北省公安厅宣布,已经成功侦破“熊猫烧香”病毒案,并抓获六名犯罪嫌疑人,但截至本报发稿,新的变种仍在出现,“熊猫烧香”仍然余烟缭绕。
其实何止“熊猫烧香”,如今木马病毒已是一个进化得无比复杂和庞大的家族。国家计算机网络应急技术处理协调中心(CNCERT/CC)的抽样监测结果显示,2006年,中国大陆地区约4.5万个IP 地址的主机被植入“木马”,与2005年同期相比增长一倍。
因此,木马病毒实际上已经成为众多网民面临的第一大威胁。
到现在心中都充满了恐惧的网民张小姐就是其中的受害者。今年春节,她收到了一封匿名邮件:“你和你老公的亲密照片已经全部在我手中,不知道传到网上会怎么样呢?”张小姐打开邮件附件中的照片,里面确实是她本人的照片。但很多照片自己和老公根本就没有拍过,对方是怎么拍到的?难道家中电脑摄像头被人开启了?
病毒专家分析,这极有可能是黑客利用目前正在爆发的灰鸽子病毒所为。
而不幸被黑客或非法分子种上“灰鸽子”木马的计算机便成了所谓的“肉鸡”。 这样的“肉鸡”构成的“僵尸网络”(BotNet)既可以用来对企业网络实施集中攻击,还可以从“肉鸡”上轻松盗取游戏账号、银行账号以及隐私资料等重要信息。
这样,即使网上银行用户使用了数字证书,也难保网上银行的资金安全。
实际上,不仅仅是灰鸽子,“熊猫烧香”病毒的一个重要功能同样如此,就是盗取用户账号和密码,从而窃取用户的虚拟或真实财产。
据悉,2006年在发现的各类病毒中,专门盗取网银/网游等网络财产和QQ号的木马占了51%。
另一方面,病毒的“自我更新机制”使得不少反病毒软件难以一一应对。金山提供给本报的数据显示,截至2006年底,只是一种“灰鸽子”木马已经出现了6万多个变种。而在2007年3月1日至13日,金山毒霸全球反病毒中心单单截获的“灰鸽子”病毒变种数就达到521个。”
不过,在3月16日上午,国家计算机病毒应急处理中心相关工作人员向本报表示,目前并未监测到“灰鸽子病毒”有大规模爆发的迹象。
电脑病毒黑色产业链
也许最严峻的挑战还不是电脑病毒是否大面积爆发,而是传播方式、传播目的的变化。
比如,“灰鸽子”本身并不具备传播性,那么它感染众多用户的背后到底藏着什么秘密呢?
本报记者调查发现,随同灰鸽子一同被人们熟悉的,还有一个名词——“肉鸡”。一名“肉鸡”贩子对记者解释说:“在业界,一个可以被控制的电脑被叫做“肉鸡”。”
在百度“灰鸽子”贴吧等论坛, 记者发现,“肉鸡”在网上公开叫卖,比如辽宁“肉鸡”每台5角到8角,广东“肉鸡”1元一台,港台的3元,外国“肉鸡”5元……并且,这些价格均已透明化。
在一些电子商务交易站点,“肉鸡”的卖主们俨然是一副“诚信经营”的模样,采用诚信打分制,让买主给他们打分 。他们通过交易网站、网络支付等正当的交易手段销售从“肉鸡”上盗窃来的QQ号码、QQ币、游戏币、名人隐私资料、私人照片、私人视频等,买家和卖家的交易就这样在网上如火如荼地进行。
一名“肉鸡”贩子告诉记者,一个普通的灰鸽子操控者,一个月可以轻松抓10万台“肉鸡”。这对于病毒制造者和“经纪人”而言,盈利空间是可以想象的。
而在另一方面,“前辈”们在倒卖“肉鸡”的同时开始带徒弟。对“菜鸟”级的徒弟手把手地教他怎么装软件、怎么种木马、怎么样让木马通过杀毒软件免杀、怎么抓“肉鸡”、怎么玩“肉鸡”。“这种手把手的培训,学费一般为200元,如果求‘师’心切,也肯开出300元甚至更高的价格。”这名“肉鸡”贩子说。
而这些“徒弟”也非常容易捞回成本:抓“肉鸡”出售或转让,盗“肉鸡”的游戏账号、QQ号等转手出售,甚至偷拍“肉鸡”主人的裸照敲诈。
除了倒卖“肉鸡”、销售盗窃赃物外,他们还操纵“肉鸡”,让“肉鸡”成为他们谋利的工具。记者在某个QQ群里看到,一群操控者正在讨论如何更好地通过操控“肉鸡”,点击国外某些点击付费的网站来获得更多收入。按照行价,点击一次就能给“肉鸡”控制者带来0.3美元的收入 。
同时,“灰鸽子”制作者及转卖者要控制下线也非常容易。对软件稍作修改留个后门,让这些控制“肉鸡”的机器再变成半个“肉鸡”,然后再吃他们从“肉鸡”那带来的好处。这在行业里叫做“黑吃黑” 。
暴利刺激了更多的人加入。毕竟,病毒制造和传播越来越容易,它已经不再是只有技术高手才能涉足的“禁地”了。
至此,一条集制造病毒、贩卖病毒、病毒培训为一体的黑色产业链,正式形成。
记者手记
木马病毒利用网络公开制作、转卖?不可思议的背后,是中国的互联网立法的相对落后。
在《计算机信息网络国际联网安全保护管理办法》中,只明确规定制造和传播病毒是违法的,但是对于木马、黑客程序、“流氓软件”等并没有清晰的界定,这才是“灰鸽子”制造者敢于利用网络公开叫卖肉鸡的根本原因。
此外,中国如此庞大的网络用户群体的隐私该如何保护,被侵犯的隐私权,以及被盗取的财产又该如何保护?这不仅仅是法律问题,更是一个巨大的社会问题。
对我们用户来说,最好的办法还是增强自身的“免疫力”,即更谨慎地管理自己的计算机系统,而不是仅仅依赖于选择某种可信的防御技术。
于企业、于用户、于社会,对木马病毒,都应该引起十二分的重视。