在今年2月,网友千鸟在淘宝购物被骗5.46万,大家在看完了整个过程,发现现在的网络罪犯相当的聪明。这里面有他本人的安全意识不够,也有支付宝通道不安全导致被劫持,也有汇付天下有限公司提供洗钱,还有网易公司的快速消费有关。下面还是看图来说明一下。
1、和使用IE浏览器、chrome没关系,问题出现的不是浏览器,而是浏览器的支付宝控件被木马劫持。
2、通常劫持支付宝控件,都是盗窃50-100元,金额比较小。
3、使用网银的时候,一定要开启杀毒软件。
4、网上支付小额的需要留意,如果是金额较大,最好不要使用网上支付,可以是银行转帐,银行转帐追查起来比网银要快很多。
5、不要太信任网银支付宝之类的,越是信任,网上支付,最好是绑定信用卡,设置限额,不要使用储蓄卡,及时绑定储蓄卡,里面钱也不要太多。
6、改变购物习惯,不使用的时候,支付宝里面不要有钱。并且,支付的时候,不能由支付宝里面关联的银行卡来付款。最好的方法就是,平时支付宝里面没有钱,需要购物的时候,将钱再充值到支付宝账户,然后再使用支付宝账户来购物。
7、任何人通过网上QQ等工具传输的文件压缩包,先不要打开,使用杀毒软件查毒后,确认无误,然后再打开压缩包。
8、改hosts是可以更改定向,但没这么简单,有更深层次的技术手段。这个是对支付宝公司的控件进行了深入分析,并且进行的底层数据传输的劫持。也就是支付通道被劫,把汇款对象给修改了。木马改变了你支付宝付款的对象,重定向了的支付链接,当你用银行卡支付的时候,被指向另一个商家了。
9、第3方支付公司为罪犯提供洗钱,加大了追查难度。尤其是网易公司,数万金额竟然在短时间内完全消化掉。
10、如果使用的是Linux平台,那么会安全一些,毕竟那些木马是EXE文件,这样根本就执行不了。
很多做过BHO的工程师都知道,其实是支付的时候被篡改了支付对象,不用加载,只要在后台运行就可以控制IE,在支付的确认的时候直接提交到银行的数据被篡改了,在很多时候我们支付的过程都是轻车熟路,没有看支付对象,没有看金额,有验证码的手机拿起来就看到验证码的位置,然后输入验证码进行支付。支付完成后后台运行中的程序再次劫持跳转页,本来可能是跳转到网页,结果让你跳到支付宝去,然而钱是支付给网易的,跳到支付宝当然显示支付未成功了。HOSTS的可能性也有,那个登录名很容易搞定,因为登录之后会在对应的域里写入COOKIE,比如登录淘宝,而支付宝被劫持,淘宝登录之后向支付宝域写入COOKIE,支付宝的域名就可以读出相应的内容了。不过这种写入不是直接写入,比方说可以用request string来向支付宝子域传送,当然支付宝子域可能没有被劫持,而劫持的可能是另一个子域,子域之间可以共享COOKIE。而COOKIE的存活期取决于COOKIE的定义。
最后,我们再来理一下,木马劫持了支付宝控件,在电脑后台,由于支付宝收银台可以向网银收取金额。这个时候,木马就是利用了这个功能,在支付宝收银台伪造了一笔金额的订单到网银,然后网银再支付出金额,进入到了另外一家公司,这个时候钱是没有进入支付宝的,支付宝只是起了一个发起请款的请求。钱到了第3方,然后被花掉。