|
头两天有个朋友跟我说,他邮箱收了银行的邮件,要他去更新客户资料。这哥们也没多想就去了,结果半截想起没有网银的安全提示,给我打电话。幸亏这个电话给他拦下来了,要不估计他现在就该上我这哭来了,怎么呢?钓鱼网站!那卡里存着他买房子钱呢! 哥们后来说要是真让骗子把钱圈走了,上我这打地铺的心都有了。算下来,这是这几个月以来第三个周围朋友碰上钓鱼网站或者其他密码安全的问题了。在大学时在下也没事琢磨过一阵黑客基本技术,也试着抓过几十肉鸡。当然现在是洗手不干了,上了班就没时间琢磨喽……但是那话怎么说的?害人之心不可有,防人之心不可无。对于肉鸡、钓鱼这些事,自认还算说得上几句话,各位,你的密码安全么?
从这几个朋友遭遇的情况来看,首要问题就是——密码太简单了!这个是老生常谈的事,我都不好意思再提。简单的数字字母组合现在应该没人用了吧?不光这个,那种直接用键盘上qwerty之类键位排列的也就是一层窗户纸,基本的黑客工具一捅就破。绝大部分常用的英文单词、短语都在密码字典里放着,以现在电脑的性能,花不了多长时间就能破解。所以呢,如果你网银用这样的密码,基本等于自己把钱往人家手里塞啊~
生算密码是比较笨的方法了,你不累电脑还累呢。放个木马啊开个后门啊做个键盘记录啊甚至屏幕录像都不是新鲜事。这些工具其实根本功能都差不多,记录你的操作来保存密码而已。大趋势是拼隐蔽性和反杀毒软件,总之就是让杀毒软件发现不了就达到目的了。但是再高明的木马也依赖于使用者的麻痹大意,如果你的安全意识足够高,那么你也成不了肉鸡!
冰刃是常用的反木马工具,但是并不适合普通人用,看一眼也该晕了
木马进入系统都是需要有网络接入和文件信息传输的,这些都可以被防火墙监测到,现在比较好的杀毒软件都可以很好地监控。在Vista开始引入UAC(就是那个讨厌的黑屏确认对话框)之后,Windows系统的安全性也得到了提高,这个主要是涉及了系统权限的问题不细说了——虽然UAC很讨厌,但确实管用。不要乱下载软件,开系统监控,不要乱上不明网站(这个是什么呢?不用说也知道吧嘿嘿)。
比较难处理的是钓鱼,就是用仿冒的网站界面去吸引你登录,然后你的帐号密码什么的就被网站后台记录下来了。这就是最开始提到的银行卡钓鱼,现在也都是以仿冒银行网站为主。阻止钓鱼主要是依靠邮箱和杀毒软件的反垃圾邮件、反钓鱼识别(邮箱方面,Gmail是目前反垃圾邮件做得最好的),还有就是个人的安全意识。正规网银登录都需要安全验证、安全插件的检验,很多还提供了USB的密钥,用来保障网银安全。国内这些保障里最狠的应该是中行网银,中行使用的动态口令牌这种技术在目前很难被破解——我不是说破解不了,一是真要把动态口令牌上的密钥算出来,这黑客估计都该有孙子啦,另外,值得注意的是中行这个动态口令牌是完全与电脑分开的,一个被隔离的人就不可能被病源传染,所以与电脑完全分离的特性,再巧的电脑黑客也难为无电脑之破解啊;当然这种不接触电脑的动态口令牌在使用方面也提供了大大的便捷,不用去电脑上装驱动,不用启用证书,换了电脑一样方便使用。动态口令牌其实有点类似于强制更换密码,而且密码的字符组合都是随机的。MSN有一个强制72天更换密码的设计就很好,动态口令牌比这个更利害的是每次登录的密码都不一样!只有持有动态口令牌的本人才能获得登录密码。这样一来,电脑那头不管隐伏着什么危险软件就都失效了。
当然喽,光靠这些软硬件设计上的安全措施,保护得再严密,也比不过咱们自己的安全意识。常换密码,用最新最好的杀毒软件、保持更新。最不济的时候,拿不准安全问题,给银行打个电话不就行了?国内银行都只有一个热线,5位数号码,其他的都别信!下次再有倒霉哥们碰上这事,我可不管给打地铺啊……
| 
