银联网被黑金融网安全陷信任危机

006年对于银行业的网络安全来说是一个黑色之年，使国内银行的风光上市显得黯淡不少。继年终工行网站所提供的网上银行业务被安徽某技校几个学生轻易猜测密码导致客户资金巨额损失之后，11月17日，中国银联官方网站又被黑客攻陷。人们不禁要问，一向视安全如生命的金融业这是怎么了。
       金融网站竟然被黑
       据瑞星反病毒专家称：11月17日瑞星接到用户报告，说其登录到银联网站的电脑被病毒感染。后经瑞星工程师确认，黑客攻陷银联网站后，在网站首页植入了一段恶意脚本，在服务器上放置了“黑洞2005”病毒。瑞星发布公告说，网站首页被植入后门程序Backdoor.BlackHole.2005.a，用户浏览之后电脑可能中毒，并被黑客远程控制，从而使隐私权和数据安全受到极大的威胁。对此，中国银联有关负责人只是表示：该病毒只是针对银联官方网站，而银联卡交易网络和网站系统采取的是物理隔离，并没有受到影响，该病毒也只是一个陈旧的病毒，因此用户不必过于担心。由于银联网站是专业型非交易网站，所以平时的浏览量很小，至今他们尚无收到一例用户因此遭受损失的报告。但银联是一个应该具有高度安全性的金融机构，一个正面向全球和Visa国际信用卡组织竞争的大企业，自己的官方网站被黑客攻陷不应只是轻描淡写。
       事实上，金融机构的网站被黑客攻击事件屡见不鲜，也不光是国内的金融机构网站，就是美国五角大楼的网站也可能被攻陷，只要被黑客抓住漏洞，就有可能被攻击。
        笔者观察发现中国银联的网页是基于ASP技术的，而一般的金融机构的网站是基于JSP=技术。老实说ASP页面被植入恶意代码的例子很多，就是被植入 iframe代码，格式如：<iframe src"某网址 " width="0" height="0" frameborder="0"></iframe>，当这个页面被访问者打开时，会同时打开上述某网址的网页，这是指向一个发送木马的网站。ASP页面被植入恶意代码，这是由于网站服务器的ASP漏洞引起的，笔者曾有一个人网站也是这样被攻击。
      主要问题在放置网站的服务器，它会使所有来访者遇到可能的威胁。这些服务器往往是被黑了，在服务器上（尤其可能是根目录下）存一个ASP文件，里边的代码非常简单，就几句，构成了一个黑客的客户端，有了这个客户，黑客就可以任意操纵你网站的网页文件，植入上述恶意代码就是小CASE了。
       这是个很严重的问题，很多网站上都被放置了木马。这些破坏者主要是利用某些网站的ASP程序的安全性检查不严密，被上传了ASP木马造成。后果非常严重。破坏者可以利用这些木马删除你所有的数据文件。这些破坏者只是在你的主页或conn.asp文件中加入一两句iframe，想利用你的网站，使访问者的浏览器下载他们的恶意代码，然后他们在访问者的电脑上搞破坏，如偷游戏密码、偷盗QQ号码、盗取网上银行密码等等。
         金融网站的页面被植入恶意代码也并不是首例。也是在今年8月，江民科技反病毒中心监测到，光大证券阳光网提供的“光大证券新版网上交易系统”、“光大证券专业分析版2003”及“光大证券金典2005”等多款软件的安装程序捆绑有“网银木马”，会威胁到工行网银用户的账号密码安全。
      据江民反病毒专家介绍，当时访问光大证券阳光网的软件下载页面的多个软件的安装程序都被捆绑了“网银木马”newup.exe.“网银木马”运行后，会监视IE浏览器正在访问的网页。如果发现用户正在登录工行个人银行，就会弹出伪造的登录对话框页面，熟悉工行页面的客户不知是计，输入登录密码和支付密码，木马程序就通过邮件将窃取的信息发送出去给黑客。江民反病毒专家分析认为，木马的出现很有可能是光大证券的服务器遭受黑客入侵所致。
       如何自保是金融网站用户重要课题
      安全问题，它关乎的是金融机构的信誉及客户的网上金融服务的安全，我们只能呼吁金融机构本身确实重视网站安全、网站服务器的安全，采取确实可行的网站安全技术及服务器安全技术并时刻监控网络病毒发生、发展、发作，以跟上“时代步伐”，打好这场永不会停歇的反病毒、反黑客战争。在如今日益严峻的网络安全形势下，一方面金融机构应该更加积极主动地采取各种措施应对信息安全问题；另一方面，我们用户也要意识到网络安全威胁严重性，只要你上网，则网页中隐藏的各种木马随时可能下载到你本地计算机，我们只有做好安全防护，才能切实维护自己的安全。
       如何自保是金融网站用户重要课题，也是我们用户唯一能做的事情。我们不能等到真的发生了损失才后悔当初使用网上金融服务和自身电脑防范轻视。我们总结出一些自保原则：
      若你真的对网络木马威胁一无所知，对防病毒软件一无所知，最好慎用网上金融服务。
     慎用其它不知名网站跳转你网上银行所在网站的跳转页面，往往这就是一个假的银行登录页面，俗称“网络钓鱼”。
       少浏览不良网站。
        确实在本地电脑安装了可防范木马病毒的国际防毒软件。本人偏爱KASPERSKY。
       对网上银行业务，要求最好取得最安全的身份认证手段，如：USBKEY。普通密码认证也不安全，数字签名也不安全。
       总结：
      网络金融案件频发，如何应对成了金融网站、第三方防毒厂商、个人用户需严阵以待的事情。对于连菜鸟级的黑客都能轻松攻陷的金融网站，实在是令人遗憾。我们唯一能做的就是加强使用金融网站的防毒手段，并选择确实可靠的金融网站登录身份认证技术。总之一句话：加强防范，以求自保。

银联网被黑金融网安全陷信任危机相关推荐

南银法巴消费金融完成增资，苏宁清仓出局
来源 | 镭射财经(leishecaijing) 持牌消金市场从此再无苏宁版图. 12月30日,南京银行发布公告称,南银法巴消费金融近期收到<中国银保监会江苏监管局关于南银法巴消费金融有限公司增 ...
互联网金融网贷平台技术架构介绍
本文讲的是互联网金融网贷平台技术架构介绍,目前互联网金融正飞速发展,快速改变着我国的金融格局.短时间内,各类融资理财平台(如陆金所.人人贷.旺财谷等)为有理财需求的理财者们,提供各种投资标的和投资渠道 ...
昆明收银系统：『免费收银软件』到底是馅饼还是陷井？免费背后的危害。
昆明收银系统:『免费收银软件』到底是馅饼还是陷井?免费背后的危害. 如果有人问您:"您最喜欢什么?",你一定答不上来,但是问您:"有免费的东西可拿哦,喜欢吗?" ...
iPhone11启动全线降价；瑞幸自曝22亿造假，股价暴跌75%；会议软件 Zoom 陷信任危机 | EA周报...
EA周报 2020年4月3日每个星期7分钟,元宝带你喝一杯IT人的浓缩咖啡,了解天下事.掌握IT核心技术. 热点大事件瑞幸自曝22亿造假,股价暴跌75%.6次熔断瑞幸咖啡4月2日发布初步调查显示 ...
华为安全检测服务赋能杭银直销，“指尖”金融更安全
3月31日,华为HMS Core.Sparkle金融创新沙龙活动在上海成功举办.来自杭银直销(NEO BANK)的技术专家出席了活动,并围绕银行App如何有效控制金融业务风险的话题,做了精彩分享,为银 ...
TiDB 在长银五八消费金融核心系统适配经验分享
作者: cs58_dba 原文来源: https://tidb.net/blog/a2a6e0dc 在独自查文档,逛论坛的过程中,积累了一些微末的实践经验,包括功能测试总结.兼容性问题.参数调试三个模 ...
unitoy机器人怎么联网_unitoy智能机器人配网
unitoy智能机器人配网app是一款与unitoy智能机器人配网机器人设备连接的软件,unitoy智能机器人配网app拥有海联的儿歌.故事内容,可以播放给孩子收听,与智能机器人成功连接以后,就可以让 ...
金三银四丨黑蛋老师带你剖析-CTF岗
作者丨黑蛋二进制是个庞大的方向,对应着许许多多方向的岗位,除了之前说过的逆向岗位,漏洞岗位,病毒岗位,还有专门打CTF的岗位,CTF是网络安全领域的一种比赛.普遍来讲,大学生学习网络安全都会参加CT ...
python画蜡烛致敬烈士_「」matplotlib 股票-用python绘制蜡烛线型k线图是用代码还是绘图工具-TOP金融网...
用python绘制蜡烛线型k线图是用代码还是绘图工具 import matplotlib.pyplot as plt from matplotlib.dates import DateFormatte ...

银联网被黑金融网安全陷信任危机