《2022年网络化的金融卡犯罪案例及技术分析 .pdf》由会员分享,可在线阅读,更多相关《2022年网络化的金融卡犯罪案例及技术分析 .pdf(5页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、金融卡网络犯罪案例及技术分析摘要:本文搜集了部分金融卡网络犯罪的实例,针对具体的攻击案例进行分析,总结了利用互联网实施网上银行犯罪的主要手段。并提出了相应的抵抗金融卡网络犯罪的具体安全措施。关键词: 金融卡、网络犯罪引言自从网上银行诞生以来, 随着网民群体的日益壮大, 越来越多交易方也逐步加入到网络交易领域中,因此,网上银行犯罪事件时有发生。2004年 12月 7 日,一个假冒的中国银行网站出现在互联网上,被揭发后该网站被关闭。不久,一个假冒中国工商银行的网站也暴露了出来,值得注意的是, 假工行网站 与真工行网站 , 只有 “1”和“I ”之差。这家黑网站通过要求储户更改密码、网上购物等手段,
2、盗取储户账号、密码,骗取网民钱财,在短时间内就疯狂敛财近80 万元。2005年 5 月,万事达卡一家第三方支付数据处理公司CardSystems Solutions 储存有大约 4000万美国信用卡客户信息的电脑系统遭到黑客入侵,被盗账号信息资料可能被用于金融欺诈活动。据悉, 黑客利用一种特殊的病毒程序,通过安全漏洞成功侵入CardSystems Solutions 的网络系统,获取了持卡人的数据。此次信用卡信息泄露事件中,德国受到波及的持卡人达5 万多,中国亦有 9000余张信用卡受到连累。2005年 6 月 6日,美国花旗集团宣布,由于美国快递业3 大巨头之一的联合包裹运送服务公司( UP
3、S)的失误,该公司丢失了一批记录着390 万客户账户及个人信息的电脑记录数据带。此外,美国银行、瓦霍维亚信托银行、商业银行公司和 PNC 金融服务集团的 70 万客户记录也被人窃取。截至目前,国内外没有权威数据表明网上银行犯罪造成的损失具体是多少,但有研究表明其增长速度异常惊人。2003 年,英国因网上银行欺诈而导致的损失为零,但是 2006 年,这一数字达到了3350 万英镑 (6640万美元 )。美国官方统计也显示,银行每年在网络上被偷窃的资金达6000 万美元,而每年在网络上企图电子盗窃作案的总数高达5 亿100 亿美元之间,“电子扒手”平均作案值是 25 万美元,而持枪抢劫银行只有75
4、00 美元。 “电子扒手”多数为密码解读高手,作案手段隐蔽,不易被抓获,通常能够查获的约为1/6,而只有 2%的网络窃贼被抓获。由此可见,网络金融犯罪已经成为多数国家不得不面对的严峻问题。一、金融卡犯罪趋势网络化名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 1 页,共 5 页 - - - - - - - - - 所谓网络犯罪 ,是指行为人运用计算机技术,借助于网络对其系统或信息进行攻击 ,破坏或利用网络进行其他犯罪的总称。目前,国内的金融卡犯罪正趋近于职业化、智能化、国际化的方向上
5、发展。从作案的表现来看,主要集中在以下三个方面:一是针对网络实施的犯罪。 近年来这类犯罪在全国各地时有发生,技术含量也比较高, 手法也是多种多样, 但是集中起来大体上可以说是通过网络窃听、重放攻击等常用的网络攻击手段进行盗窃活动。二是利用网上银行系统漏洞的犯罪。 金融业务的网络化发展极大地方便持卡人的同时也有犯罪分子以此为作案目标,他们一是通过网上窃取客户的信息,通过转账等手段盗提客户信息。 有的是利用银行系统方面存在的薄弱环节,还有的是利用黑客软件或网络病毒攻击客户银行上的网站或者是网页窃取卡号密码制作伪卡。三是在互联网设立假的金融机构网站,骗取客户银行卡卡号和密码,这一种比前两种要多。 由
6、于犯罪嫌疑人通过虚拟的世界来作案,所以留下的证据也相对较少,客户发现得也比较滞后。可以看出,金融卡网络犯罪是网络犯罪的一种,并已经逐渐呈现严重化的趋势。二、金融卡犯罪实例分析(1) 、利用银行网络系统漏洞银行网络系统漏洞的危害是巨大的, 它可以让犯罪分子在很短时间内窃取大量违法资金。作为银行方面,应当注重安全自查,封闭可能漏洞,关闭风险等级较高的功能,以最大限度地提高系统的安全性,降低客户的资金风险。案例:被称为网络“女许霆”的廖淑珍就是利用银行网络系统漏洞进行犯罪的典型例子。2000年,廖淑珍与丈夫古某来到广州芳村区谋生,丈夫古某开了一家私店,廖淑珍则自己开大排档做夜宵生意。2001年 1月
7、 21 日晚,廖淑珍在中国建设银行广州市芳村桥东办事处ATM机上查询余额。余额显示为1366.35元,廖淑珍遂提取了1300元;再次查询余额时,却发现账户的余额没有发生变化。当天晚上,廖淑珍将这一发现告诉了情夫张某和朋友陈某。两人让廖淑珍拼命取款,从当晚 1 点 49 分一直取钱到上午8 点 20 分,依次在建设银行芳村桥东办事处、芳村大道、上九路办事处、人民南路储蓄所、芳村桥东办事处、惠福名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 2 页,共 5 页 - - - - - - -
8、 - - 路第二储蓄所、西湖路办事处、荔湾支行专柜、地铁芳村办事处、芳村桥东办事处 取款,取出的钱全交给张某和陈某。在接下来的 2 月 22 日到 27 日,廖淑珍不断更改作案时间和地点进行取款。27 日晚 7 点 30分廖再次取款时,被银行工作人员抓获。案例分析:廖淑珍, 48 岁,小学毕业,并没有接受过高等教育。2001 年年初,她利用银行网络系统两地响应码理解不同的漏洞,在明知卡内欠款不足的情况下, 连续8 天疯狂取款 59.93万元。最终破案后发现,导致这起毫无技术含量的犯罪竟然起因于一个银行网络系统的漏洞:根据中国建设银行广东省分行计算机软件开发部给建行总行的关于龙卡网络系统运行情况
9、的汇报 ,证实:此案网络出错的原因是广东分行和宁波分行对于“建行龙卡网络系统实施方案”中响应码“78”的理解不同,宁波将“ 78”作为拒绝交易码处理,不对账户作扣账处理,而广东分行视为该交易成功。防范措施:一是银行方面及时维护更新网络系统,修补漏洞二是详细记录交易信息,便于事故查询三是政府要明确法律法规,对银行和用户的责任分布明确(2) 、使用病毒或黑客工具入侵用户个人电脑由于现代互联网的新技术突飞猛进,黑客等往往拥有高级的IT 技术,经常利用一些发现的漏洞进行攻击, 电脑相关部门很难做到提前预防,事后补漏的情况较多。这些都造成了互联网犯罪案件发案数量的迅速上升。案例:淘宝用户 helloci
10、cicat 看中一件欧时力的毛衣,店主“圣装部落”是三钻卖家。这个卖家以近三折的超低价吸引客户,当向卖家询问相关情况, 卖家马上给她发来细节图, 接受后是压缩文件, 图片打不开, 于是就发给她一个朋友的电脑上让她看看, 结果她也打不开。 她马上跟卖家说不买了, 卖家也马上将该物品下架。而她的朋友当晚正好在支付宝有一笔交易,但由于该用户把图片发给了她,导致她的所有交易都是打入ID 为圣装部落发来的病毒所设置的账户。她查询后发现,钱没有打入支付宝而是直接打到了中国移动通讯集团湖南有限公司,可能是买了手机卡,但该商品仍然显示未付款 案例分析:该用户的失误操作导致不仅自己的电脑中毒,并且连朋友也遭受牵
11、连。 其实犯罪手法并不是很高明, 该淘宝用户的电脑安全防范意识不高, 但并未受到损失;而朋友之间的相互信任却最终导致了最终犯罪分子的得逞。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 3 页,共 5 页 - - - - - - - - - 防范措施:一是及时修复系统漏洞及更新应用软件,使用杀毒软件等安全工具二是保持良好的电脑使用习惯,不随意打开未知文件,不上不健康的网站三是个人电脑尽量不让其他人使用,或泄露自己的密码(3) 、设立虚假金融机构网站网络钓鱼是指不法分子仿冒正常网站链接
12、及内容,这些网站通常是知名度高、用户信任度较高的网站,通过电子邮件、聊天工具、手机短信等媒介进行传播,利用用户的心理弱点,通常以“中奖”信息为诱饵进行诈骗,通过打造逼真的钓鱼页面,巧妙的构思让用户信以为真,以牟取非法利益。中国反钓鱼网站联盟的 2011年 5 月钓鱼网站处理简报表明,已累计认定并处理的钓鱼网站有50118个; 钓鱼网站涉及行业分布情况显示, 支付交易类、金融证券类、即时通讯类,占处理总量的97.64%。在接到的钓鱼网站举报中,涉及淘宝网、 工商银行、 腾讯、盛大四家单位的钓鱼网站总量占了全部举报量的96.18%。可见网络钓鱼大多属于金融犯罪。2011年上半年,据安全公司安天实验
13、室截获的钓鱼网站的数据表明,钓鱼网站的数量较 2010 年同期有大幅度增长,由于钓鱼网站给地下经济带来巨大的利益,不法分子制作钓鱼的步伐加大,传播手段也更加多元化, 网络钓鱼给网民个人财产带来的威胁日益严峻。案例:微博近年来得到快速的发展,国内各大门户网站均开通微博服务,微博的火热也引起了钓鱼者的关注, 因此利用微博钓鱼的案例也时有发生。例如下例一个仿冒“新浪微博”的钓鱼网站(http:/boom-bo.bg.tf) 。1) 打开该仿冒的钓鱼网站首页,出现了“新浪微博在七月黄金周期间与联想公司举办【微博二周年】抽奖活动”公告,其中包含假的获奖验证码8850,点击任意超链接,进入下一页面。2)
14、出现“抽奖”页面,该页面包含活动期间、活动规则及奖项设置,当输入正确的“ 验证码 ” 确认后,弹出对话框提示: “此验证码为今日系统抽选的第八位用户,获得本次活动的二等奖” ,点击“领取我的奖品” 。3) 在“获奖用户领奖协议书”页面,同意并确认后,出现填写“用户信息”页面,包含用户的真实姓名、联系电话、证件号码、银行卡号等内容。4) 点击“提交表格”后,弹出对话框: “恭喜!系统已经成功保存您的资料。您是二等奖幸运用户,您将获得新浪网及联想公司送出奖金¥ 38000元及联想天逸F31A(奥运版)笔记本电脑。请尽快与客服人员核对您的资料,(新浪网制定领奖热线 400-6761305)并在 2
15、个小时内办理您的领奖手续! ” 。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 4 页,共 5 页 - - - - - - - - - 5) 在办理手续页面,需要用户提交500 元手续费,并汇款到指定帐号。用户汇款后,钱会被转到不法分子帐号内。案例分析:可以看出,该新浪微博钓鱼网站是经过精心设计的。借“新浪微博二周年”为由,钓鱼内容合乎一定逻辑;以抽奖、中奖信息进行“ 钓鱼” ,方法虽然有些老套,但是奖品丰厚,诱惑性依然比较强;公证页面与400 领奖热线,增加了用户对钓鱼网站的可信
16、度。钓鱼网站由于制作水平、 制作成本等因素, 难免会出现一些纰漏, 这里列举几条此网站存在的问题:1.新浪官网域名“ ”与钓鱼网站域名“ boom-bo.bg.tf”差距较大;2.每次进入“ 【微博二周年】抽奖活动”公告页面,都是同一个“获奖验证码3.每次输入“获奖验证码”验证后,都会中“二等奖”;可以随意填写用户信息,提交用户信息时,没有验证相关信息格式的过程。防范措施:1.核对网站域名在域名方面,假冒网站通常将英文字母I 替换为数字 1,CCTV 被换成 CCYV 或者 CCTV-VIP 这样的仿造域名。2.查验可信网站目前不少网站已经在网站首页安装了第三方网站身份诚信认证 可信网站,可帮助网民了解网站的真实信息。3.查看安全证书目前大型的电子商务网站在交易页面都应用了安全传输技术,交易页面的网址都是“https”打头的。三、总结本文总结了金融卡网络犯罪的几种常见方法,并对其中的典型案例进行了技术分析,给出防范相应类的网络犯罪的方法和安全措施。网络发展日新月异, 未来的工作就是继续追踪金融卡在网络方面的犯罪,并提出更加全面的安全防范措施。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 5 页,共 5 页 - - - - - - - - -