y*h
发帖数: 25423 | 1 近日,微博盛传“免费Wi-Fi 15分钟盗走密码”,这现实吗?在北京工作的长沙人锒先
生称自己就有这样的遭遇,昨天凌晨2点,他的银行卡被分17次转账或取现,共损失3.4
万元,而事发前1小时,他用手机通过Wi-Fi登录过网上银行。
手机刚登完网银,3.4万元没了
据报道,2月20日凌晨1点,锒先生在睡前通过手机银行查看账户。睡下后没多久,凌晨
2点多,短信声响起,银行发来的取款提醒,称其银行卡刚从ATM取款机上取出人民币
2000元。而此时,银行卡就在他身上。
正当锒先生诧异的时候,第二条、第三条内容相似的短信进来了,有现金取款的,有银
行转账的。1小时不到,17条提醒短信,锒先生共被转走3.4万元(现金取款7次共1.4万
元,银行转账共2万元)。因卡是在长沙办的,天一亮,锒先生立马赶回长沙报了警。
锒先生自述有“蹭网”的喜好,只要有免费Wi-Fi,他就会“蹭”。“肯定是用Wi-Fi的
时候被盯上了,被人盗取了我的网银信息。”
目前,警方已对此案展开调查。
盗银行账号较难,微博、QQ很容易
免费Wi-Fi真能盗走用户账户?《三湘都市报》记者就此采访了反病毒工程师李铁军。
他介绍,不法分子会设置没有密码的Wi-Fi吸引手机用户使用。一旦连上钓鱼Wi-Fi,手
机用户的操作记录就会被复制,被相关软件破解。
用户的账号被盗分两种:网站加密性不高时,直接被不法分子破解;安全系数高的网站
,如银行、支付宝等网站,黑客则会引导用户到山寨钓鱼网站,从而获取账号和密码。
因网上银行、支付宝等金融类网站和手机客户端信息经过了层层加密,破解的难度大,
而微博、QQ、邮箱、游戏等账号则会相对容易。
“同等条件下,从手机上的官方手机客户端登录网银,比用浏览器登录网银更安全。”
李铁军说。
此外,针对市面上普遍存在的两大手机系统:苹果系统和安卓系统,他介绍,没有越狱
的苹果系统比安卓系统更安全。
“苹果系统的所有应用软件只能从苹果商店下载,通过了苹果公司包括安全检查在内的
一系列审核,而安卓的系统是开放的。”李铁军说。
你手机的Wi-Fi自动连接关掉没?
如果保持打开状态,手机在进入有Wi-Fi的区域后会自动扫描,并连接没有密码的网络
,大大增加用户误连钓鱼Wi-Fi的几率。手动使用时,也应看清Wi-Fi名称。
在登录手机银行或者支付宝、财付通等金融服务类网站时,最好不要直接通过浏览器,
而应用银行或者第三方支付公司专用应用程序。 |
G**L
发帖数: 22804 | |
k**o
发帖数: 15334 | 3 没有技术含量,很普通的man in the middle attack。只要你上了我的网,
那基本就是随便我摆弄了。
【在 G**L 的大作中提到】
: 这些人的水平跟放军比如何?
|
G**L
发帖数: 22804 | 4 我指的是干完了以后没被抓到的技术。我想如果放军有规定被抓到就枪毙,他们就会更
小心
【在 k**o 的大作中提到】
: 没有技术含量,很普通的man in the middle attack。只要你上了我的网,
: 那基本就是随便我摆弄了。
|
M******8
发帖数: 10589 | 5 你说的是,如果放军规定,谁黑美国人被美国人抓到,就枪毙谁吧?
【在 G**L 的大作中提到】
: 我指的是干完了以后没被抓到的技术。我想如果放军有规定被抓到就枪毙,他们就会更
: 小心
|
b*******8
发帖数: 37364 | |
c*****t
发帖数: 10738 | 7 没有那么简单。如果银行网站本身做的好的话,解密traffic并不容易。原文也说了,
对这些银行,他们是用假网站去骗用户。
【在 k**o 的大作中提到】
: 没有技术含量,很普通的man in the middle attack。只要你上了我的网,
: 那基本就是随便我摆弄了。
|
k**o
发帖数: 15334 | 8 是啊,已经man in the middle了,还解个P的密啊,直接DNS spoof完事,
用户直到被盗,也根本看不出来是假的啊,因为登录完了就redirect到
真网站了。你事先只要把各大银行网站的html copy一份假的偷密码 就行了。
【在 c*****t 的大作中提到】
: 没有那么简单。如果银行网站本身做的好的话,解密traffic并不容易。原文也说了,
: 对这些银行,他们是用假网站去骗用户。
|
c*********y
发帖数: 3348 | 9 这专家乱说的。
哪里有这事的, 摆个免费的WIFI,等着人家来上网上银行的。
我还不如摆棵树,等着兔子撞上来呢?
要么是钓鱼网站,
要么是卡被复制。
wifi来偷密码的话,没磁条消息怎么能复制ATM转账的?
这种反病毒专家也是坑人不浅的。 不知道是哪里的? |
c*****t
发帖数: 10738 | 10 还有一点,光是银行密码丢失,就会丢钱么?犯罪分子转钱也有个去处啊,很难无迹可
寻。 |
|
|
y*h
发帖数: 25423 | 11
这一点不是问题,国内最近几年金融诈骗的多了去了,基本都无迹可寻,虽然无迹可寻
有点不可思议。
他们常见的手法是,不止一个人,有一个犯罪网络,一旦得手,大部分钱迅速就被全国
分布团伙成员从ATM机取走了。
破获的案件都有庞大的集团网络,很多是在国外。
【在 c*****t 的大作中提到】
: 还有一点,光是银行密码丢失,就会丢钱么?犯罪分子转钱也有个去处啊,很难无迹可
: 寻。
|
r*******3
发帖数: 10886 | |
w*********r
发帖数: 42116 | 13 哪家银行?哪个免费WI-FI?
3.4万丢了,就别在藏着掖着的了。
【在 y*h 的大作中提到】
:
: 这一点不是问题,国内最近几年金融诈骗的多了去了,基本都无迹可寻,虽然无迹可寻
: 有点不可思议。
: 他们常见的手法是,不止一个人,有一个犯罪网络,一旦得手,大部分钱迅速就被全国
: 分布团伙成员从ATM机取走了。
: 破获的案件都有庞大的集团网络,很多是在国外。
|
g***t
发帖数: 7544 | 14 没这么简单的。大银行的网站是https加密的,只在服务器端与客户端是明文。黑客就
算截流了中间段,一时半会也解不出明文。如果黑客使用虚假域名得到了用户名与密码
,然后登陆银行网站,银行网站会因为登陆IP与户主常用IP不同而问一些预设的问题。
所以中国银行的问题主要还是银行自己的网络安全措施不到位,对顾客的资金安全关心
不够。
【在 k**o 的大作中提到】
: 是啊,已经man in the middle了,还解个P的密啊,直接DNS spoof完事,
: 用户直到被盗,也根本看不出来是假的啊,因为登录完了就redirect到
: 真网站了。你事先只要把各大银行网站的html copy一份假的偷密码 就行了。
|
k**o
发帖数: 15334 | 15 你们都没在国内呆过吧?国内银行账户可以用假身份证开的啊,你上哪儿找人去。
【在 y*h 的大作中提到】
:
: 这一点不是问题,国内最近几年金融诈骗的多了去了,基本都无迹可寻,虽然无迹可寻
: 有点不可思议。
: 他们常见的手法是,不止一个人,有一个犯罪网络,一旦得手,大部分钱迅速就被全国
: 分布团伙成员从ATM机取走了。
: 破获的案件都有庞大的集团网络,很多是在国外。
|
y*h
发帖数: 25423 | 16
套到帐号密码直接给你显示个错误网页就行了,不用继续显示真的银行网页,很多人以
为电脑出毛病,等想明白了已经晚了。这种犯罪团体一旦得手在几分钟之内就把钱取走
了,央视已经曝光过好几次了,最大的在几个国家和地区抓了上百人回来。骗钱的方式
有很多,有电话的有邮件的有在ATM机上加东西的,背后有一个销赃网络。
【在 g***t 的大作中提到】
: 没这么简单的。大银行的网站是https加密的,只在服务器端与客户端是明文。黑客就
: 算截流了中间段,一时半会也解不出明文。如果黑客使用虚假域名得到了用户名与密码
: ,然后登陆银行网站,银行网站会因为登陆IP与户主常用IP不同而问一些预设的问题。
: 所以中国银行的问题主要还是银行自己的网络安全措施不到位,对顾客的资金安全关心
: 不够。
|
c*********y
发帖数: 3348 | 17 偷了密码还得要有密钥的,
网上转账哪有这么简单的。 再说网上银行密码又和ATM不同的。
反正就是个完全不同行的记者和一个不懂装懂的专家搞出来的破文章。
最可能的是卡被复制了。ATM的安全防范要小的多, 那个磁条太好复制了。 |
y*h
发帖数: 25423 | 18
假身份证不是关键,关键是销赃网络可以迅速在几分钟之内把钱提走,变成现金以后再
怎么查封帐号无论真假都没用了。
即使用假身份证的帐号,如果没有这套快速提现的销赃系统的话也不容易拿到钱,警察
能让银行封你的帐号,但是钱已经取走了就没办法了。
【在 k**o 的大作中提到】
: 你们都没在国内呆过吧?国内银行账户可以用假身份证开的啊,你上哪儿找人去。
|
M******8
发帖数: 10589 | 19 貌似大一些的银行,身分认证系统已经跟公安局的户口系统接口了。
只有那些有“真的假身份证”的高官和他们的家属(房姐什么的)才能用假身份证开户。
因为这些假身份证在户口系统里有对应数据。
【在 k**o 的大作中提到】
: 你们都没在国内呆过吧?国内银行账户可以用假身份证开的啊,你上哪儿找人去。
|
O*******N
发帖数: 2689 | |
|
|
k**o
发帖数: 15334 | 21 跟你说了不用解密,你还在这纠缠什么解密。都man in the middle了,你还
解个P密啊,何况https基本不可能迅速破解,暴力破解得运算几万年的级别。
security这个东西是易用性和安全性之间一个balance。你说的靠IP,倒是安全
了,可是我作为客户,如果经常出差的话,大概会被烦死了,肯定会要求禁用
这个设置,或者换家银行。像文中这个人随便上别人的wifi的,肯定也是经常
在外晃的,不会喜欢用IP based security。
【在 g***t 的大作中提到】
: 没这么简单的。大银行的网站是https加密的,只在服务器端与客户端是明文。黑客就
: 算截流了中间段,一时半会也解不出明文。如果黑客使用虚假域名得到了用户名与密码
: ,然后登陆银行网站,银行网站会因为登陆IP与户主常用IP不同而问一些预设的问题。
: 所以中国银行的问题主要还是银行自己的网络安全措施不到位,对顾客的资金安全关心
: 不够。
|
c*********y
发帖数: 3348 | 22 如果碰到假身份证开户的,银行就得担一定责任的。
【在 k**o 的大作中提到】
: 你们都没在国内呆过吧?国内银行账户可以用假身份证开的啊,你上哪儿找人去。
|
a***e
发帖数: 27968 | 23 man in middle照理是搞不定第三方认证的
这个银行的安全系统也太烂了
【在 k**o 的大作中提到】
: 没有技术含量,很普通的man in the middle attack。只要你上了我的网,
: 那基本就是随便我摆弄了。
|
y*h
发帖数: 25423 | 24
让银行承担责任,你以为你是谁?
【在 c*********y 的大作中提到】
: 如果碰到假身份证开户的,银行就得担一定责任的。
|
k**o
发帖数: 15334 | 25 偷密码要个P第三方认证啊,我把DNS都给你改了,放个假网站给你看,任你
再小心也看不出来有问题啊。解决办法还是不要随便上不明情况的wifi。
【在 a***e 的大作中提到】
: man in middle照理是搞不定第三方认证的
: 这个银行的安全系统也太烂了
|
c*********y
发帖数: 3348 | 26 应该是所有银行都是吧。
户。
【在 M******8 的大作中提到】
: 貌似大一些的银行,身分认证系统已经跟公安局的户口系统接口了。
: 只有那些有“真的假身份证”的高官和他们的家属(房姐什么的)才能用假身份证开户。
: 因为这些假身份证在户口系统里有对应数据。
|
k**o
发帖数: 15334 | 27 那也是最近的事,之前假身份证开的户都grand father in了,随便找个办证的
都可以买几十个。另外还可以偷一些小账户,不偷里面的钱,专门用来收钱。
【在 c*********y 的大作中提到】
: 应该是所有银行都是吧。
:
: 户。
|
M******8
发帖数: 10589 | 28 有个办法可以破钓鱼网站。
就是你填个假银行卡号(或者真的也行,如果你怕钓鱼者已经知道了卡号),并且随便
填个密码。
如果可以登录,就是钓鱼的。
【在 k**o 的大作中提到】
: 偷密码要个P第三方认证啊,我把DNS都给你改了,放个假网站给你看,任你
: 再小心也看不出来有问题啊。解决办法还是不要随便上不明情况的wifi。
|
k**o
发帖数: 15334 | 29 这个办法可以,就是有点麻烦。
【在 M******8 的大作中提到】
: 有个办法可以破钓鱼网站。
: 就是你填个假银行卡号(或者真的也行,如果你怕钓鱼者已经知道了卡号),并且随便
: 填个密码。
: 如果可以登录,就是钓鱼的。
|
a***e
发帖数: 27968 | 30 然后你的DNS假网站还能验证certificate?
【在 k**o 的大作中提到】
: 偷密码要个P第三方认证啊,我把DNS都给你改了,放个假网站给你看,任你
: 再小心也看不出来有问题啊。解决办法还是不要随便上不明情况的wifi。
|
|
|
c*********y
发帖数: 3348 | 31 现在基本上网上银行都要有授权这一关的,
没有密钥的话,根本取不了钱的。
【在 M******8 的大作中提到】
: 有个办法可以破钓鱼网站。
: 就是你填个假银行卡号(或者真的也行,如果你怕钓鱼者已经知道了卡号),并且随便
: 填个密码。
: 如果可以登录,就是钓鱼的。
|
w*********r
发帖数: 42116 | 32 大陆银行网络登陆要用密钥,一个USB DRIVE一样的东西,插进计算机才行。还有什么
手机动态密钥。
一个劲怪银行,活该被人骗。
【在 g***t 的大作中提到】
: 没这么简单的。大银行的网站是https加密的,只在服务器端与客户端是明文。黑客就
: 算截流了中间段,一时半会也解不出明文。如果黑客使用虚假域名得到了用户名与密码
: ,然后登陆银行网站,银行网站会因为登陆IP与户主常用IP不同而问一些预设的问题。
: 所以中国银行的问题主要还是银行自己的网络安全措施不到位,对顾客的资金安全关心
: 不够。
|
k**o
发帖数: 15334 | 33 手机上去银行网站还有certificate?我估计大部分都没有吧,PC上用的恐怕
也是少数。
【在 a***e 的大作中提到】
: 然后你的DNS假网站还能验证certificate?
|
k**o
发帖数: 15334 | 34 那是个optional security feature,不是required。我以前也有,后来我要求
银行给我停了,太麻烦。
【在 w*********r 的大作中提到】
: 大陆银行网络登陆要用密钥,一个USB DRIVE一样的东西,插进计算机才行。还有什么
: 手机动态密钥。
: 一个劲怪银行,活该被人骗。
|
h******k
发帖数: 13418 | 35 那个是专业版,很多网页上的简版是没有的,银行在丢失密码上无责任,但是提款限额
上有问题,我觉得根本原因是联网程度不够,系统落后的问题
【在 w*********r 的大作中提到】
: 大陆银行网络登陆要用密钥,一个USB DRIVE一样的东西,插进计算机才行。还有什么
: 手机动态密钥。
: 一个劲怪银行,活该被人骗。
|
k**o
发帖数: 15334 | 36 提款限额是用户自己可以要求改的,否则你自己需要提大笔钱的时候不方便了就。
我估计此用户平时没有注意这个限额,改大了之后没改回来。
【在 h******k 的大作中提到】
: 那个是专业版,很多网页上的简版是没有的,银行在丢失密码上无责任,但是提款限额
: 上有问题,我觉得根本原因是联网程度不够,系统落后的问题
|
w***u
发帖数: 17713 | 37 你们都假定用户很警惕,实际上,很多用户都傻得一塌糊涂,被逼上用计算机。这些人
怎么被骗都是可以理解的,问题是他们还不是少数。我看着某些人上网都要被气得撞墙
。 |
y*h
发帖数: 25423 | 38
太土了。多少年没回国了?USB的那种早淘汰了,现在大部分银行用的都是不用插USB的
独立令牌,上面有个液晶显示器,自己和银行服务器离线时间同步的,用的时候要按一
下按钮,在电脑中输入令牌上的数字进行验证。
但是关键问题是,这东西不是必须的,而是可选的,有人开网银帐号的时候不选用这个
设备就没有用。
【在 w*********r 的大作中提到】
: 大陆银行网络登陆要用密钥,一个USB DRIVE一样的东西,插进计算机才行。还有什么
: 手机动态密钥。
: 一个劲怪银行,活该被人骗。
|
c*********y
发帖数: 3348 | 39 手机有短信认证的。
PC上没密钥不如转账的,
只开放查询和本账户转账功能的。
【在 k**o 的大作中提到】
: 手机上去银行网站还有certificate?我估计大部分都没有吧,PC上用的恐怕
: 也是少数。
|
h******k
发帖数: 13418 | 40 我觉得不是这个问题,国内的银行全国联网的更新速度是不行的,不同城市间的业务繁
杂无比很不方便,这个是技术问题,如果多人使用假卡在不同城市同时提现,这个限额
估计就不能起作用了。
【在 k**o 的大作中提到】
: 提款限额是用户自己可以要求改的,否则你自己需要提大笔钱的时候不方便了就。
: 我估计此用户平时没有注意这个限额,改大了之后没改回来。
|
|
|
k**o
发帖数: 15334 | 41 这个是真理啊。我tm给我父母电脑上就装了个ppstream,然后给他们浏览器
放了几个网站的link,有wenxuecity,mitbbs什么的,杀毒软件就一个免费360。
结果一年之后他们说电脑太慢,让我去看看,丫电脑上装了6套新杀毒软件,
都是我没听说过的公司做的,360反而消失了。internet connection那里被
篡改所有网页都先通过Russia一个IP周转。然后电脑上装了各种他们自己都
不知道的软件,什么炒股,淘宝,游戏一应俱全。我都不知道怎么可能出来
这么多。
【在 w***u 的大作中提到】
: 你们都假定用户很警惕,实际上,很多用户都傻得一塌糊涂,被逼上用计算机。这些人
: 怎么被骗都是可以理解的,问题是他们还不是少数。我看着某些人上网都要被气得撞墙
: 。
|
c*********y
发帖数: 3348 | 42 PV操作,你懂不懂?
【在 h******k 的大作中提到】
: 我觉得不是这个问题,国内的银行全国联网的更新速度是不行的,不同城市间的业务繁
: 杂无比很不方便,这个是技术问题,如果多人使用假卡在不同城市同时提现,这个限额
: 估计就不能起作用了。
|
y*h
发帖数: 25423 | 43
这就是为什么现在国内的网上银行基本都提供硬件令牌而美国很少有银行这么做的原因
【在 k**o 的大作中提到】
: 这个是真理啊。我tm给我父母电脑上就装了个ppstream,然后给他们浏览器
: 放了几个网站的link,有wenxuecity,mitbbs什么的,杀毒软件就一个免费360。
: 结果一年之后他们说电脑太慢,让我去看看,丫电脑上装了6套新杀毒软件,
: 都是我没听说过的公司做的,360反而消失了。internet connection那里被
: 篡改所有网页都先通过Russia一个IP周转。然后电脑上装了各种他们自己都
: 不知道的软件,什么炒股,淘宝,游戏一应俱全。我都不知道怎么可能出来
: 这么多。
|
w*********r
发帖数: 42116 | 44 http://www.qian999.com/news/news/yejiezixun/q939.html
2009年5月初。央行、银监会、公安部、工商总局四部委联合正式发文。对于银行卡的
转账金额实行上限管理。其中。银行卡持卡人使用电话、ATM转账的。每日每卡转出金
额不得超出5万元人民币。持卡人开通网上银行转账的。应采用数字证书、电子签名等
安全认证方式。否则单笔转账金额不应超过1000元人民币。每日累计转账金额不得超过
5000元人民币。缴纳公共事业费及同一持卡人账户之间转账的除外。
【在 h******k 的大作中提到】
: 那个是专业版,很多网页上的简版是没有的,银行在丢失密码上无责任,但是提款限额
: 上有问题,我觉得根本原因是联网程度不够,系统落后的问题
|
c*********y
发帖数: 3348 | 45 大陆的流氓软件太多了,
你一不小心,多按几下鼠标,丫什么都给你装上, 更可恶的是你装上个流氓软件,又
会给你介绍几个流氓软件。
没几天,全都是流氓的天下。
【在 k**o 的大作中提到】
: 这个是真理啊。我tm给我父母电脑上就装了个ppstream,然后给他们浏览器
: 放了几个网站的link,有wenxuecity,mitbbs什么的,杀毒软件就一个免费360。
: 结果一年之后他们说电脑太慢,让我去看看,丫电脑上装了6套新杀毒软件,
: 都是我没听说过的公司做的,360反而消失了。internet connection那里被
: 篡改所有网页都先通过Russia一个IP周转。然后电脑上装了各种他们自己都
: 不知道的软件,什么炒股,淘宝,游戏一应俱全。我都不知道怎么可能出来
: 这么多。
|
w*********r
发帖数: 42116 | 46 不管什么方法,银行提供了更安全的措施,选择不用,就别抱怨银行的措施不到位。
【在 y*h 的大作中提到】
:
: 这就是为什么现在国内的网上银行基本都提供硬件令牌而美国很少有银行这么做的原因
|
w***u
发帖数: 17713 | 47 问题是那些网站跳出来的问题很诱惑人啊,你想不想你的机器更安全?你想不想上网就
收钱?你的机器被黑了,要不要赶紧杀毒?点愿意不愿意都中招。
【在 k**o 的大作中提到】
: 这个是真理啊。我tm给我父母电脑上就装了个ppstream,然后给他们浏览器
: 放了几个网站的link,有wenxuecity,mitbbs什么的,杀毒软件就一个免费360。
: 结果一年之后他们说电脑太慢,让我去看看,丫电脑上装了6套新杀毒软件,
: 都是我没听说过的公司做的,360反而消失了。internet connection那里被
: 篡改所有网页都先通过Russia一个IP周转。然后电脑上装了各种他们自己都
: 不知道的软件,什么炒股,淘宝,游戏一应俱全。我都不知道怎么可能出来
: 这么多。
|
h******k
发帖数: 13418 | 48 这个要看具体实现了,每日应该不是问题,但是在同一时间异地跨行取款不知如何监控
,因为正常情况下是只有一个卡。
【在 w*********r 的大作中提到】
: http://www.qian999.com/news/news/yejiezixun/q939.html
: 2009年5月初。央行、银监会、公安部、工商总局四部委联合正式发文。对于银行卡的
: 转账金额实行上限管理。其中。银行卡持卡人使用电话、ATM转账的。每日每卡转出金
: 额不得超出5万元人民币。持卡人开通网上银行转账的。应采用数字证书、电子签名等
: 安全认证方式。否则单笔转账金额不应超过1000元人民币。每日累计转账金额不得超过
: 5000元人民币。缴纳公共事业费及同一持卡人账户之间转账的除外。
|
l******t
发帖数: 55733 | |
l******t
发帖数: 55733 | 50 有一个可能,就是一开始的WIFI登陆界面被做了手脚。不然没有intrude https的可能
。 |
|
|
G**L
发帖数: 22804 | 51 是流氓太多
【在 c*********y 的大作中提到】
: 大陆的流氓软件太多了,
: 你一不小心,多按几下鼠标,丫什么都给你装上, 更可恶的是你装上个流氓软件,又
: 会给你介绍几个流氓软件。
: 没几天,全都是流氓的天下。
|
y*h
发帖数: 25423 | 52
可能性太多了,根本不用intrude https。最简单的劫持DNS用个假银行网页就能骗到你
的密码,木马病毒之类的花样也很多,你脑袋学呆了,非要去intrude https。
【在 l******t 的大作中提到】
: 有一个可能,就是一开始的WIFI登陆界面被做了手脚。不然没有intrude https的可能
: 。
|
l******t
发帖数: 55733 | 53
这要登陆银行还不知道看地址条就活该了。
另外我国内账号都用usb key银行专业版的。只能说肉鸡太多了。
【在 y*h 的大作中提到】
:
: 可能性太多了,根本不用intrude https。最简单的劫持DNS用个假银行网页就能骗到你
: 的密码,木马病毒之类的花样也很多,你脑袋学呆了,非要去intrude https。
|
c*****t
发帖数: 10738 | 54 那样的话。可以考虑把DNS设成手动的。
【在 y*h 的大作中提到】
:
: 可能性太多了,根本不用intrude https。最简单的劫持DNS用个假银行网页就能骗到你
: 的密码,木马病毒之类的花样也很多,你脑袋学呆了,非要去intrude https。
|
i*******d
发帖数: 1430 | 55 你还是不懂,看地址栏有鸟用,dns都是假的。
【在 l******t 的大作中提到】
:
: 这要登陆银行还不知道看地址条就活该了。
: 另外我国内账号都用usb key银行专业版的。只能说肉鸡太多了。
|
y*h
发帖数: 25423 | 56
劫持了DNS的话可以让地址条显示你想看的地址的。
【在 l******t 的大作中提到】
:
: 这要登陆银行还不知道看地址条就活该了。
: 另外我国内账号都用usb key银行专业版的。只能说肉鸡太多了。
|
h******k
发帖数: 13418 | 57 不能根本解决问题,骗子的局域网可以自己配置自己的DNS服务器。
【在 c*****t 的大作中提到】
: 那样的话。可以考虑把DNS设成手动的。
|
h******k
发帖数: 13418 | 58 别笑别人了,你也一样,不过靠专业版保命,但是其实不知道原理。
【在 l******t 的大作中提到】
:
: 这要登陆银行还不知道看地址条就活该了。
: 另外我国内账号都用usb key银行专业版的。只能说肉鸡太多了。
|
l******t
发帖数: 55733 | 59
恩。
【在 y*h 的大作中提到】
:
: 劫持了DNS的话可以让地址条显示你想看的地址的。
|
y*h
发帖数: 25423 | 60
他有路由器的控制权,可以把所有DNS的查询请求定向到自己的DNS,你设啥也不管用。
【在 c*****t 的大作中提到】
: 那样的话。可以考虑把DNS设成手动的。
|
|
|
h******k
发帖数: 13418 | 61 不完全,他说手动设置DNS,则DNS不是来自于路由器的DHCP,但是骗子还是可以在自己
的网络中配置假的DNS,并赋予著名DNS服务器的地址。手动DNS能一定程度的发现避免危
险,但也给自己带来不便。
【在 y*h 的大作中提到】
:
: 他有路由器的控制权,可以把所有DNS的查询请求定向到自己的DNS,你设啥也不管用。
|
l******t
发帖数: 55733 | 62
是,想简单了。
【在 h******k 的大作中提到】
: 别笑别人了,你也一样,不过靠专业版保命,但是其实不知道原理。
|
y*h
发帖数: 25423 | 63
避免不了,他有路由器的完全控制权的话,定制的软件,你无论把DNS设成什么地址,
port 53的DNS包一出来被路由器看到就可以重定向到自己的DNS,还可以冒充你自定义
DNS的IP发给你应答,你根本看不出有什么异样。
【在 h******k 的大作中提到】
: 不完全,他说手动设置DNS,则DNS不是来自于路由器的DHCP,但是骗子还是可以在自己
: 的网络中配置假的DNS,并赋予著名DNS服务器的地址。手动DNS能一定程度的发现避免危
: 险,但也给自己带来不便。
|
c*********y
发帖数: 3348 | 64 不用讨论的,问题根本不在wifi上的。
即使拿了密码和账户,没有密钥,也是转不出钱的。
关键是钱是在真银行那里, 骗子最后还是要到银行取钱的。
从ATM取钱关键是要复制卡,磁条信息, 上网根本获取不了这些信息。
专家在胡说。 大家不要被骗了。 |
c*****t
发帖数: 10738 | 65 呵呵。这样说的话,那他都不需要改DNS了。只要路由器检测到request的是某银行网站
,就自动重定向。
【在 y*h 的大作中提到】
:
: 避免不了,他有路由器的完全控制权的话,定制的软件,你无论把DNS设成什么地址,
: port 53的DNS包一出来被路由器看到就可以重定向到自己的DNS,还可以冒充你自定义
: DNS的IP发给你应答,你根本看不出有什么异样。
|
c*********y
发帖数: 3348 | 66 有哪个傻子会让免费WIFI让你用,
然后等着傻子来上银行网站,
偷了密码并且还有密钥。
分明是银行的推辞。
自己的卡的安全性不高,风险都推给用户了。 |
c*********y
发帖数: 3348 | 67 按照美国的法律,即使密码写在卡上的。 只要知道卡丢失两天内通知银行,最多损失
50刀的。
如果卡还在自己身上,一点责任也不需要负的,
国内银行一点责任也不想背,确实不合理。 |
y*h
发帖数: 25423 | 68
就是啊,他有router的完全控制权,除了拦截了SSL加密的东西不好搞,其他的随便怎
么骗,他想用DNS也行,直接重定向包也行。根本的一点就是那个用户被被劫持了,他
所有的通讯都是和坏蛋的router之间进行的,想怎么搞就怎么搞。
【在 c*****t 的大作中提到】
: 呵呵。这样说的话,那他都不需要改DNS了。只要路由器检测到request的是某银行网站
: ,就自动重定向。
|
l******t
发帖数: 55733 | 69
verisign是怎么工作的
【在 c*****t 的大作中提到】
: 呵呵。这样说的话,那他都不需要改DNS了。只要路由器检测到request的是某银行网站
: ,就自动重定向。
|
h******k
发帖数: 13418 | 70 yes and no,路由器的控制权确实可以做很多的事情,port forwarding 没问题,但是
返回包的地址不是简单路由器配置就能改的,这个需要一个地址转换,要定做一个内核
了。
【在 y*h 的大作中提到】
:
: 就是啊,他有router的完全控制权,除了拦截了SSL加密的东西不好搞,其他的随便怎
: 么骗,他想用DNS也行,直接重定向包也行。根本的一点就是那个用户被被劫持了,他
: 所有的通讯都是和坏蛋的router之间进行的,想怎么搞就怎么搞。
|
|
|
n*****t
发帖数: 22014 | 71 我包里放个跑 linux 的 netbook, 没事找个没有 wifi 的洗浴城,ap 名字设成中国
移动的,这一宿能挣多少啊。。。。
【在 h******k 的大作中提到】
: yes and no,路由器的控制权确实可以做很多的事情,port forwarding 没问题,但是
: 返回包的地址不是简单路由器配置就能改的,这个需要一个地址转换,要定做一个内核
: 了。
|
T**********t
发帖数: 449 | 72 假身份证是内部人员,找一个跟你相貌差不多的人做出来的,到哪里查都是真的。
当然你就得用这个人的名字了。
户。
【在 M******8 的大作中提到】
: 貌似大一些的银行,身分认证系统已经跟公安局的户口系统接口了。
: 只有那些有“真的假身份证”的高官和他们的家属(房姐什么的)才能用假身份证开户。
: 因为这些假身份证在户口系统里有对应数据。
|
k**o
发帖数: 15334 | 73 草,也没那么容易,至少得钓几个礼拜才会有上钩的。
【在 n*****t 的大作中提到】
: 我包里放个跑 linux 的 netbook, 没事找个没有 wifi 的洗浴城,ap 名字设成中国
: 移动的,这一宿能挣多少啊。。。。
|
a***e
发帖数: 27968 | 74 手机用apps,比PC还容易搞cert
【在 k**o 的大作中提到】
: 手机上去银行网站还有certificate?我估计大部分都没有吧,PC上用的恐怕
: 也是少数。
|
j*********g
发帖数: 3179 | 75 美国这边都有网站安全提示图案。对比上号不登陆。
【在 y*h 的大作中提到】
:
: 就是啊,他有router的完全控制权,除了拦截了SSL加密的东西不好搞,其他的随便怎
: 么骗,他想用DNS也行,直接重定向包也行。根本的一点就是那个用户被被劫持了,他
: 所有的通讯都是和坏蛋的router之间进行的,想怎么搞就怎么搞。
|
