網路銀行慘遭木馬屠城

用戶被植入木馬與後門，盜領事件不斷

最近，如果你要利用網路銀行轉帳，就必須先到銀行一趟，因為多家銀行的網路銀行客戶陸續反應遭到「不明原因」盜領，所以財政部金融局希望各銀行暫時先關閉網路銀行非約定帳戶轉帳功能。

之前發生的盜領事件，不外乎是使用者密碼外洩、懶人密碼（1234、1111…），或者是銀行主機遭到入侵，但各家銀行清查之後，發現銀行端並未遭受入侵，受害者也並非使用懶人密碼或密碼外洩等原因而遭歹徒盜領。都是網路銀行惹的禍？

此次的盜領事件是透過電子郵件或惡意網站等手法，將木馬和後門程式植入受害者的電腦，當使用者登入網路銀行時，木馬程式就記錄使用者在鍵盤上輸入的帳號及密碼等資料，然後將這些資料透過電子郵件或檔案傳送傳送到指定網址，駭客取得資料後，即透過「非約定帳戶」轉帳功能，盜領受害者的帳戶。

賽門鐵克亞太區資訊安全技術顧問林育民表示，目前已經有30餘家銀行開辦網路銀行服務，但使用者仍存在某些迷思，許多人認為「都是網路銀行惹的禍」，但並不全然是網路銀行不安全，使用者自己反而是金鐘罩的罩門，如果因為自己的電腦中毒而被盜領，在責任歸屬上，必須自行負擔損失，使用者必須加強電腦的安全性，以降低交易風險。有許多人認為網路行密碼連續錯誤3次，帳號即被鎖定，因此可以高枕無憂，但如果是使用懶人密碼，可能一次就猜中。

加裝用戶端數位憑證、使用IC卡或Token就可以杜絕所有木馬或後門問題嗎？林育民表示，用戶端數位憑證只能增加入侵的複雜度，駭客還是有可能透過木馬竊走使用者密碼、數位憑證與私密金鑰，至於IC卡或Token，也都有可能被竄改交易內容，或是發出假交易，駭客甚至可讓IC卡對假冒的交易。駭客如何植入木馬？

若是你的電腦被植入木馬程式，駭客透過遠端遙控取得電腦的管理權限後，舉凡檔案、帳號密碼等機密資訊，通通都在他的掌握之中，更有些駭客會利用使用者開啟的Web Cam，觀看使用者的一舉一動，讓你毫無隱私可言。

有人會問，我已經安裝了防毒軟體和個人防火牆，為什麼還會被植入後門和木馬呢？其實，駭客可以透過病蟲、電子郵件、惡意網站、社交工程、系統漏洞或應用程式等手法，誘騙使用者上當。況且，即使是一般人也很容易就可以取得木馬和後門程式。

林育民舉3個常被利用的木馬程式。「Backdoor.Powerspider.B」、「超級密碼結巴」及「SubSeven」。

在三月底所發生的網路銀行遭駭客盜領案件，後來證實在受害者的電腦裡，遭植入Backdoor.Powerspider.B木馬。它是利用PwdSpy（www.codeproject.com/dll/pwdspy.asp）做為竊取密碼的主要元件，可截錄應用程式與網頁密碼，將該機密資訊傳送至特定網站與電子郵件信箱，並且會終止某些防毒系統、防火牆與系統監控工具的運作，然後開啟任意的TCP通訊埠，讓駭客由遠端控制此電腦。Backdoor.Powerspider.B使用UPX、ASPack及ExeStealth進行壓縮與保護，以增加安全人員分析的困難度。

Symantec根據Backdoor.Powerspider.B所發送的郵件標題及相關資料，追查後發現此木馬是由「超級密碼結巴 V5.30」所修改而成（tjbb.w29.west263.cn/530/530）。超級密碼結巴的最新版本是超級密碼結巴V2004，只要180元人民幣就可以買到，再加100元人民幣更可包裝成網頁木馬，也就是說，歹徒只要花極低的成本，就可以取得此木馬程式，並藉以謀取不當利益。

SubSeven又名為Sub7，最早在1999年5月被發現，之後陸續產生多隻變種。如果使用者的電腦被植入SubSeven木馬程式，駭客可以執行電腦中的大多數執行檔，甚至取得管理者密碼、修改系統登錄檔、變更或刪除檔案。SubSeven的變種能夠把使用者鍵入的登錄資料，以電子郵件傳送到特定的地址，讓駭客可以破解密碼，以取得其他敏感資訊，甚至發動DDoS攻擊。可至Symantec網站查詢SubSeven的相關資訊（securityresponse.symantec.com/avcenter/venc/data/backdoor.subseven.html）。

超級密碼結巴的原始作者在網站上強調：「超級密碼結巴V2004是密碼結巴的最新版，新增一些功能，不被任何殺毒軟體查殺，成功躲過殺毒軟體的內存查殺」「只有你不想要的密碼，沒有取不到的密碼！」。事實真的如此嗎？當然不。Symantec 2004年4月1日之後的病毒定義檔，即可偵測出此木馬，如果是未安裝防毒軟體的使用者，也可透過Symantec網路安全診斷室進行偵測。善用工具防護，養成良好習慣

過去，我們只講求防毒，事實上，防駭已經成為下一波更要關注的重點。從工具面來說，防毒軟體可以有效的偵測與清除系統中已知的病毒、蠕蟲及木馬程式；個人防火牆可於第一時間攔截到新的病蟲與木馬程式，避免造成擴散和更大的危害；入侵偵測可有效偵測駭客或病蟲利用系統漏洞植入木馬或後門程式，例如在大陸相當盛行的「網頁木馬」。要有效對抗新一代的網際網路威脅，就必須結合防毒、個人防火牆及入侵偵測等安全防禦機制。

除了工具防護，使用者也要養成良好的習慣，像是更新最新的病毒定義檔與攻擊特徵、安裝最新的修補程式、不開啟來歷不明的電子郵件或執行其附件檔、不安裝或執行來路不明的軟體或程式、不瀏覽惡意網站（色情、駭客），關閉並移除不必要的服務與程式。

在使用網路銀行方面，林育民提供幾項建議：
●選擇不易被猜中的密碼

●不在不安全的電腦上登入網路銀行，如網咖、公用電腦

●檢查並確認連線的網頁是真實的網路銀行，可以使用瀏覽器的書籤功能

●在交易前，先檢查前次的連線記錄；交易結束後，必須執行登出動作

以密碼為例，網路銀行本身已經有些安全機制，例如首次登入強制變更預設密碼，密碼連續錯誤3次不得再繼續執行交易，但使用者仍可予以補強，我們建議密碼至少要有7位數，最好是英數混合使用，而且不可與帳號相同。

為了讓消費者更接受網路銀行，銀行業者採取較簡便的使用者認證機制（SSL、身分證字號、簡單密碼），但安全性也因此而降低。也許，在專家找出網路銀行安全性與方便性的平衡點之前，使用實體銀行執行轉帳、繳款等交易，會是比較安全的選擇。文⊙陳世煌