小新打黑(36)

安全阵线

2011年9月12日 第36期

你的支付宝 被偷窥了吗

最近,有黑客在漏洞分享平台乌云网发布了消息,曝光了绕过支付宝权限任意登录他人账号的漏洞,导致该漏洞出现的原因是支付宝权限认证体系存在缺陷,黑客通过特定的操作就可以随意进入其他用户的支付宝账号,查看他们的历史交易记录、账号余额等信息。

这个漏洞如果是真的,就是今年的重大漏洞之一,值得小编深入研究。不过,乌云网中没有公布细节,小编请教了熟知的安全高手,证实了该漏洞真实存在——黑客登录支付宝后,输入特定命令替换了ID信息,此时系统权限检测失效了(这个漏洞跟以前的宽带上网客户查询漏洞是相似的)。

在小编看来,支付宝出现如此低级的漏洞是不应该的,所幸该漏洞的实质危害并不是很大,黑客只利用该漏洞掌握用户的个人隐私,不能盗取支付宝账号里面的余额。尽管如此,这个漏洞值得广大程序员、安全维护员和网管警惕。

网银安全:ATM按键泄露密码

最近,加州大学圣地亚哥分校的安全人员、计算机科学系的博士生基顿·莫尔里研究发现,用户在ATM(自动柜员机)键盘上输入密码后,手指余热残留在键盘上,给不法分子留下可乘之机。紧随其后的不法分子可利用红外照相机确认用户输入的密码是哪些数字。

在用户操作后,立即用红外照相机扫描,识别的准确度高达80%;如果是操作后60秒,识别的准确度约为50%;如果是操作后90秒,识别的准确度约为20%。

在小编看来,这种黑客技术的潜在威胁是巨大的,如果发展成熟了,就可以轻而易举地获得他人的银行卡密码。但是该技术要真正威胁到普通民众,需要克服两大技术难题:第一个难题是如何知道密码数字的顺序——光知道密码由哪些数字组成是没有用的;第二个难题是如何获得银行卡的卡号。

从理论上来说,这两个技术难题都可以解决,只不过这需要大量的时间,在很长一段时间内,该黑客技术不会对用户造成真正的威胁。此外,就算技术难题解决了,也未必有黑客会使用该技术,一是太张扬,二是技术的稳定性无法得到保证。

@五块钱走天下:这还不简单?我乱输入几个数字不就得了?

@藏青色的马甲:挺佩服这些黑客的,这都想得出来!看来人类已经无法阻止黑客的脚步了!

网游安全:色情网站暗藏病毒

最近,一些读者举报色情网站http://www.***123.com,其中有读者询问该网站的内容全部是免费的,很心动,但不知道该网站是不是安全的,希望小编帮忙解答一下。网上有很多这样的免费色情网站,允许用户自由访问。

那网站的目的是什么呢?它们靠什么生存呢?其实,它们基本上跟不法分子有联系,主要的收入来源就是分成:网站暗藏了网游盗号病毒,用户访问网站后盗号病毒被激活偷偷进入用户的电脑。

盗号病毒成功入侵后,就会监视用户的电脑,一旦发现运行了《魔兽世界》、《地下城与勇士》等热门网游,就会窃取账号和密码。利用盗来的账号和密码获得利益后,就会分一部分给网站。因此,此类免费色情网站极度不安全,小编建议大家不要访问此类网站。

@sophyteddy:新哥,除了盗号病毒,还有间谍软件哟!

@皎月朱月:这不是专门坑我们宅男吗?

微博安全:新浪微博中奖钓鱼网站

最近,很多读者向小编举报新浪微博钓鱼网站,举报得最多的是http://weibo8.2011sina.us。该网站宣传新浪微博在“黄金八月周”期间与iPhone公司举办“微博派福”活动,输入获奖验证码8990即可领奖,奖品是丰田凯美瑞轿车一辆。

该钓鱼网站有几处破绽:第一处破绽,时间不对,现在都9月了,还在说8月;第二处破绽,网站没有进行网络备案,没有合法的手续,该网站是非法网站;第三处破绽,奖品太丰厚了,居然就如此草率地公布了获奖者,没有在微博中宣扬。

@真的欧巴桑:iPhone公司,笑死我了,是苹果公司好不好,骗子没有文化!

@抚琴月下:又是一个骗取税费的钓鱼网站,鄙视它!

充值安全:坑人的2011话费充值中心

在谷歌中搜索关键词“移动充值”(图1),搜索结果中排名靠前的三个网站虽然显示的网址不一样(http://10086.vizvaz.com/10086.asp、http://10086.epac.to/10086.asp、http://10086.mysecondarydns.com/10010/10086.asp)、宣传语也不一样,但都指向同一个网站——2011话费充值中心(图2)。

36-f10-02.jpg
图1
36-f10-03.jpg
图2

该网站页面做得精美,看起来很可靠,不过事实真的是这样吗?NO,该网站其实是一个钓鱼网站,专门骗话费的,有大量用户被该网站坑了。不法分子美化网站主要是在网站的上半部分,在下半部分漏洞多多。

例如公共信息安全网络监察网站、网络110报警网站等链接都打不开,关于我们、联系我们等链接也打不开。此外,网络备案号是最搞笑的,就是一个“ICP备11022568号”,没有省名,明显是盗用正规公司的网络备案号。

需要注意的是,这个钓鱼网站没有被安全软件拦截(多款杀毒软件和安全辅助工具都没有报警),因此,小编建议大家在网上充值话费,最好去官方网站,不要通过搜索的方式寻找充值网站。

@时代:晕,谷歌被钓鱼网站占领了!

@深眼睛:这下百度不寂寞了,哈哈!

安全百科:土耳其黑客

上周,国外媒体广泛报道了微软、沃达丰、UPS快递等200多家大型网站遭到土耳其黑客攻击的消息,网站DNS信息被窜改,部分网站打开后跳转到一家土耳其网站。

众多安全人士怀疑,这次发动攻击的黑客跟上个月攻击大量韩国网站的黑客是同一批人,理由是攻击手法极为相似。

上个月,一批土耳其黑客攻破了域名注册商Gabia的网站,获得大量敏感信息,例如10万多个域名、数十万用户信息等,随后黑客发动疯狂攻击,众多韩国知名网站被黑客入侵,影响极为恶劣(不知大家还有没有印象,2010年初百度网站也是被黑客用DNS攻击得瘫痪的)。

土耳其黑客很厉害吗?他们的黑客水平很高吗?恭喜你,答对了!土耳其黑客的水平相当高,名气也相当大,土耳其黑客曾经入侵了Facebook,曾经入侵过多家知名安全厂商的网站。

这么说比较虚,小编举一个例子:我们曾经介绍过全球屈指可数的黑客组织Anonymous,它的成员分布全球各地,有一次土耳其政府一口气在12个城市抓到了32名Anonymous的成员。

不过土耳其黑客的名声不太好,跟一些不法黑客的行为很有关系,例如曾经有一名土耳其黑客在短短数月之间入侵了数百万个网站,入侵的理由竟然是生活无聊找乐子,这跟传统的黑客精神、游侠精神都不符合。