项目2-1 网上支付的安全使用.ppt

钓鱼网站和服务器攻击： “钓鱼”：黑客首先建立一个酷似支付方官方网站的假页面，用于诱骗用户输入账号和密码等，或者包含用于种植木马的恶意脚本，然后给假网页申请一个酷似官方网站的域名，等待用户由于拼写错误而链接进来等方式引诱用户访问假页面。 网络钓鱼 （Phishing）攻击者利用欺骗性的电子邮件和伪造的 Web 站点来进行网络诈骗活动，受骗者往往会泄露自己的私人资料，如信用卡号、银行卡账户、身份证号等内容。诈骗者通常会将自己伪装成网络银行、在线零售商和信用卡公司等可信的品牌，骗取用户的私人信息。  网络钓鱼流程图  案例一：网银大盗 南方的早春总是伴着绵绵细雨，难得今天是个晴朗天，某服装公司的张经理带着十几个重要员工来到郊外一个鱼塘进行垂钓活动。张经理放置好钓具后，便打开了随身携带的笔记本电脑并连上网络，他想利用这点时间处理一下最近的一笔生意。秘书见他在这种时候还离不开工作，便劝他：“经理，今天是游玩的日子，难得放松一下，今天还是不要处理公司业务了吧……您不怕钓竿被鱼叼走了？”张经理对秘书笑了笑，看着身前的钓竿缓缓说道：“都说姜太公钓鱼，愿者上钩，但是如果不知道提竿的时机，即将到手的鱼也会溜走的。等这笔生意谈妥，我再休息也不迟。”说罢又继续低头敲键盘。 　　生意终于谈妥，客户把货款转入张经理的银行账户，张经理笑了：“这条大鱼终于被我钓到了”。然后他登上网络银行账户查看转账情况，奇怪密码不正确，他记得昨天才修改过密码的，估计没有成功，换旧密码登陆吧。当页面上显示出账户剩余金额时，张经理心里一紧，接着有了晕眩的感觉：账户里原来的存款不翼而飞，页面里惟有客户刚刚转入的货款，仿佛在嘲笑着张经理。 张经理做梦也没想到，这一次，他成了别人钓上的鱼，而且是大鱼报。 警察正在分析张经理那台笔记本电脑硬盘里的数据，张经理本人在报案时因心脏病发作而住进了医院。由于无法得知张经理最后一次登录网络银行的时间，而且系统里也没有感染任何偷盗账号的后门程序，案件变得有点扑朔迷离起来。一个分析员无意中打开了Foxmail，发现最后一封信件是银行发送的，主题为“XX网络银行关于加强账户安全的通告”，分析员预测案件与这封信件有重大关系，马上打开阅读。这是一封HTML网页模板的信件，内容大意为银行为了加强账户安全而升级了系统，请各位客户尽快重新设置账户密码，末尾还给出了设置密码的URL链接。 打开该链接，出现的是熟悉的网银页面（如下图），安全人员仔细查看IE地址栏，发现地址栏内容/icbc/perbank/index.jsp，如果不仔细看，真看不出来是假冒！ 幕后黑手果然在这里！分析员马上查看信件源代码，很快就找出了其中的猫腻：正如常说的 “说的一套，做的一套”，这个邮件的作者采用了“看的一套，进的一套”这种简单的欺骗手法，入侵者利用HTML语言里URL标记的特性，把它写成了这样： A href=/icbc/perbank/index.jsp/icbc/perbank/index.jsp/A 原因找到，点击的网银链接其实是访问下面的骗子做的网站，唯一的区别是com 与c0m /icbc/perbank/index.jsp （骗子做的网站） 假冒网站网页伪造得与真正的银行页面完全一致，但是它的登陆功能却是把账号和密码发送到了幕后的“垂钓者”手上，然后“垂钓者”登录上真正的网络银行改了受害者设置的密码，并顺手牵羊把银行账户里的存款转移掉。这样钓来的鱼，即使是小鱼也会让“垂钓者”在梦里发出笑声来了，即使一条太小，积累起来的数目也会变得相当可观了。在金钱的诱惑下，“垂钓者”一次又一次提竿，殊不知，他自己也是被金钱钓竿钓上的一条鱼。 将来网络购物兴起的时候，恐怕很多人都要小心了，目前已经出现很多淘宝网购物欺骗案件和支付宝使用不当遭受损的实例，请认真阅读，或许会受到启发，明白网络钓鱼无处不在。 案例二：网络钓鱼（淘宝网） 　案例二：支付0.1元被套20581元 　　网民小香想在淘宝网上购买一张价值50元的手机充值卡，拍下之后付款到卖家的支付宝，卖家叫小香登录某网站，用网银汇款0.1元到他的账户里，说是用来提取单号，通过单号来提取充值卡密码。小香心想：既然都付了40多元钱到支付宝上了，也不在乎那0.1元了。于是按提示支付，可多次出现超时问题，当初以为是电脑浏览器问题，于是和淘宝上那位卖充值卡的卖家说了，他说让他的“技术人员”加小香QQ，加了后，一番交谈，进入了“技术人员”所提供的支付网站，登录网站后，在付款的前一刻，支付金额清清楚楚写着“0.10元” ，按了付款后，一分钟内，手机收到银行的短信，内容说“银行支出20581元”! 　　提醒：其实小香联系的两个人提供的网站都是钓鱼网站，第一个应该是网站出现了问题没有成功，于是又让小香联系所谓的“技术人员”，以