[求助]如何對抗鍵盤側錄程式? (第2頁)

802106
個人積分：67分
文章編號：480305

67分

11樓

2005-03-25 22:19

Prince wrote:

802106 wrote:
先打在剪貼簿上~

在開網頁到輸入密碼那~

男後複製貼上~

就不會被測錄了~

如果有小鍵盤功能~就用那個滑鼠點~也不會側錄

歹勢吐個槽，剪貼簿也是鍵盤打的啊？
除非早就存在網頁上，剪下再貼上。

呵呵~歹勢我沒看清楚~原來是公用電腦~我以為是被下木馬的網頁~

那就打亂碼打一堆~裡面其中1組才是你要的複製起來呀^^~

例如:865342185646496283打完這些~

其實你只要裡面的倒數第6到倒數第2的數字那一組49628

更麻煩就12345678

你自己1個1個複製貼上~噗

這對眼神,真情中!像是社會敗類...純情,又是情場騙子!真複雜..........從你的眼裡我看到我英俊的面孔

Suited Speculator

Suited Speculator
個人積分：6分
文章編號：559585

6分

樓主

2005-05-18 6:08

kiki wrote:
這種惡意軟體只要去抓你們按下「SUBMIT=」的東西就可以了吧？你們怎麼貼都騙不過他的，不是嗎？

除非像某幾家網路銀行，提供螢幕虛擬鍵盤，使用人只能用滑鼠按下密碼，這樣頂多只有座標值或是座標值所代表的長串隨機數字被惡意軟體側錄，不會被錄下真實密碼。

今天在蘋果日報看到的消息,真市不知道怎樣算是安全的網路銀行

http://www.appledaily.com.tw/News/index.cfm?Fuseaction=Article&NewsType=twapple&Loc=TP&showdate=20050518&Sec_ID=5&Art_ID=1785520

46網路銀行虛擬鍵盤遭破解
駭客側錄螢幕座標竊千筆帳號密碼

【黃泊川∕台北報導】網路銀行為了晶片金融卡持卡人的安全，近來研發出「虛擬鍵盤」，將電腦鍵盤投射到電腦螢幕上，所有ＡＴＭ的功能（不含提領現金）都可在家裏完成，不過一名電腦駭客居然破解國內四十六家網路銀行的「虛擬鍵盤」，取得近千筆持卡人的晶片卡密碼和銀行帳號，所幸刑事局即時抓到這名駭客。

嫌犯僅高職畢業
刑事局指出，嫌犯陳南宏（三十八歲）雖只有高職畢業，但憑藉十多年來撰寫遊戲程式的功力，短短一個多月內已從持卡人使用網路銀行過程中，側錄到銀行帳號、提款密碼、晶片卡密碼等近千筆資料，還專程前往中國購買「白卡」製成偽卡並進入盜領測試階段，已依妨害電腦使用等罪嫌送辦。
警方調查，陳嫌是從網路上挑選購買晶片讀卡機的網友，再以「更新讀卡機驅動程式」的釣魚方式，誘騙網友下載木馬程式。
這個暗藏的程式會自動記錄電腦使用者，在螢幕虛擬鍵盤上的點選紀錄，並以「座標位置」換算成四十六家網路銀行各自不同的鍵盤字母與數字，回傳給陳做為製作偽卡的資料。
網路警探高大宇指出，陳雖在成功盜領前即遭緝獲，但本案已對網路金融秩序與晶片卡安全發出警訊，另虛擬鍵盤是採用紅外線與激光技術，把完整鍵盤投射在電腦螢幕上的先進科技，「虛擬鍵盤」原是用來對抗木馬程式側錄傳統鍵盤資料的利器，未料在晶片金融卡尚未全面完成換發時即遭破解。
警方指出，目前晶片金融卡持卡人每次使用卡片時，電腦都會給予不同密碼的驗證，陳嫌已成功闖過晶片卡三道安全機制中的「帳號」與「密碼」兩道，僅剩突破晶片的「亂數變換規則」即可完成偽卡，「屆時他到銀行搬錢，勢將如入無人之境」。不過警方考量一旦偽製成功後，網路金融秩序勢將大亂，因此決定提前收網，將陳嫌拘捕送辦。

歹徒竊取網路資料手法
1.網路銀行剛推出時，歹徒藉由木馬程式，側錄使用者透過電腦鍵盤輸入的帳號密碼，成功盜取使用者資料。

2.網路銀行推出「虛擬鍵盤」，利用電腦螢幕上的虛擬鍵盤輸入，不用經過鍵盤，沒想到還是被歹徒利用座標定位方式竊取資料。

報你知
避免在網咖輸入個資
網路銀行及線上購物網站雖都設有加密機制，但只能確保銀行及購物網不被駭客侵入，民眾這一端的電腦若被植入木馬程式，不僅敲擊的帳號、密碼會被竊取，甚至連螢幕畫面都能輕易被駭客監看。
使用網路銀行時最好在裝設防毒軟體的電腦上進行，且不要輕易下載不明程式、上不明網站，絕對避免在網咖中輸入個人資料與帳號密碼，此外，也可將要使用網路銀行的電腦和平日經常使用的電腦分開，以免被植入木馬程式。

Jetter

Jetter
個人積分：9548分
文章編號：559587

9548分

13樓

2005-05-18 6:23

Suited Speculator wrote:

kiki wrote:
這種惡意軟體只要去抓你們按下「SUBMIT=」的東西就可以了吧？你們怎麼貼都騙不過他的，不是嗎？

除非像某幾家網路銀行，提供螢幕虛擬鍵盤，使用人只能用滑鼠按下密碼，這樣頂多只有座標值或是座標值所代表的長串隨機數字被惡意軟體側錄，不會被錄下真實密碼。

今天在蘋果日報看到的消息,真市不知道怎樣算是安全的網路銀行

http://www.appledaily.com.tw/News/index.cfm?Fuseaction=Article&NewsType=twapple&Loc=TP&showdate=20050518&Sec_ID=5&Art_ID=1785520

46網路銀行虛擬鍵盤遭破解
駭客側錄螢幕座標竊千筆帳號密碼

【黃泊川∕台北報導】網路銀行為了晶片金融卡持卡人的安全，近來研發出「虛擬鍵盤」，將電腦鍵盤投射到電腦螢幕上，所有ＡＴＭ的功能（不含提領現金）都可在家裏完成，不過一名電腦駭客居然破解國內四十六家網路銀行的「虛擬鍵盤」，取得近千筆持卡人的晶片卡密碼和銀行帳號，所幸刑事局即時抓到這名駭客。

嫌犯僅高職畢業
刑事局指出，嫌犯陳南宏（三十八歲）雖只有高職畢業，但憑藉十多年來撰寫遊戲程式的功力，短短一個多月內已從持卡人使用網路銀行過程中，側錄到銀行帳號、提款密碼、晶片卡密碼等近千筆資料，還專程前往中國購買「白卡」製成偽卡並進入盜領測試階段，已依妨害電腦使用等罪嫌送辦。
警方調查，陳嫌是從網路上挑選購買晶片讀卡機的網友，再以「更新讀卡機驅動程式」的釣魚方式，誘騙網友下載木馬程式。
這個暗藏的程式會自動記錄電腦使用者，在螢幕虛擬鍵盤上的點選紀錄，並以「座標位置」換算成四十六家網路銀行各自不同的鍵盤字母與數字，回傳給陳做為製作偽卡的資料。
網路警探高大宇指出，陳雖在成功盜領前即遭緝獲，但本案已對網路金融秩序與晶片卡安全發出警訊，另虛擬鍵盤是採用紅外線與激光技術，把完整鍵盤投射在電腦螢幕上的先進科技，「虛擬鍵盤」原是用來對抗木馬程式側錄傳統鍵盤資料的利器，未料在晶片金融卡尚未全面完成換發時即遭破解。
警方指出，目前晶片金融卡持卡人每次使用卡片時，電腦都會給予不同密碼的驗證，陳嫌已成功闖過晶片卡三道安全機制中的「帳號」與「密碼」兩道，僅剩突破晶片的「亂數變換規則」即可完成偽卡，「屆時他到銀行搬錢，勢將如入無人之境」。不過警方考量一旦偽製成功後，網路金融秩序勢將大亂，因此決定提前收網，將陳嫌拘捕送辦。

歹徒竊取網路資料手法
1.網路銀行剛推出時，歹徒藉由木馬程式，側錄使用者透過電腦鍵盤輸入的帳號密碼，成功盜取使用者資料。

2.網路銀行推出「虛擬鍵盤」，利用電腦螢幕上的虛擬鍵盤輸入，不用經過鍵盤，沒想到還是被歹徒利用座標定位方式竊取資料。

報你知
避免在網咖輸入個資
網路銀行及線上購物網站雖都設有加密機制，但只能確保銀行及購物網不被駭客侵入，民眾這一端的電腦若被植入木馬程式，不僅敲擊的帳號、密碼會被竊取，甚至連螢幕畫面都能輕易被駭客監看。
使用網路銀行時最好在裝設防毒軟體的電腦上進行，且不要輕易下載不明程式、上不明網站，絕對避免在網咖中輸入個人資料與帳號密碼，此外，也可將要使用網路銀行的電腦和平日經常使用的電腦分開，以免被植入木馬程式。

看完這篇報導....只有幾個字可以形容.....這個記者....再去讀點書吧....

尤其是這句『虛擬鍵盤是採用紅外線與激光技術，把完整鍵盤投射在電腦螢幕上的先進科技』
看完差點沒笑到從椅子上掉下來。。。

另外所謂三道驗證...... 哈哈.. 本來帳號和密碼就不是什麼難事... 側錄滑鼠和鍵盤的動作即可.
而晶片可不是那麼容易就可複製的...

ceifro

ceifro
個人積分：1011分
文章編號：559625

1011分

14樓

2005-05-18 8:03

記者寫出來的能信的才有鬼.....很多事情都被他們添油加醋,
不然根本就是亂寫.....我對於記者所寫的事情都至少打對折~
尤其是有體驗過咱們記者的掰功之後~

jason206

jason206
個人積分：74分
文章編號：559663

74分

15樓

2005-05-18 8:53

>尤其是這句『虛擬鍵盤是採用紅外線與激光技術，把完整鍵盤投射在電腦螢幕上的先進科技』

雖然這句是加油添醋, 但是既然是更新晶片卡讀卡機驅動程式, 那 Cracker 想讀取晶片卡資料, 就不是什麼難事了, 雖然晶片卡每次交易後 key 都會改變, 但是 Cracker 讀取卡片都是最後交易完成的資料, 所以 Cracker 取得後交易, 若沒有將新 key 寫回晶片卡, 也許使用者下一次要用晶片卡就不能用了(沒用過不知道), 那其實是很快的吧, 幾分鐘而已~

上次有人分享網路銀行就討論過了, 對 Cracker 來說若讀取晶片卡資料不是什麼難事, 只要晶片卡一插入, 資料就被竊取了~~~

***講的更簡單一點, 讀卡機插在自己的電腦, 等於插在 Cracker 的電腦, 你的電腦只是一個 Gateway 而已~! 就像 RS-232 Gateway 一樣~! 因為驅動程式已經不是原廠的了。

上帝保佑每個人的電腦都沒有木馬吧~~

--

jason206

jason206
個人積分：74分
文章編號：559688

74分

16樓

2005-05-18 9:10

新版的的側錄程式會加入 monitor 剪貼簿功能.......哈哈
其實那很簡單的, 搞不好舊版就有...........

至於小鍵盤....hmm...應該也會有 PostMessage 吧!??, 不知抓不抓的到, 沒研究過....
理論上只要在電腦裡面什麼都抓, 什麼都不奇怪, 難易程度而已,
講到最後真的是什麼都不安全了....~_~

802106 wrote:
先打在剪貼簿上~
在開網頁到輸入密碼那~
男後複製貼上~
就不會被測錄了~
如果有小鍵盤功能~就用那個滑鼠點~也不會側錄

--

Jetter

Jetter
個人積分：9548分
文章編號：559807

9548分

17樓

2005-05-18 10:58

jason206 wrote:
>尤其是這句『虛擬鍵盤是採用紅外線與激光技術，把完整鍵盤投射在電腦螢幕上的先進科技』

雖然這句是加油添醋, 但是既然是更新晶片卡讀卡機驅動程式, 那 Cracker 想讀取晶片卡資料, 就不是什麼難事了, 雖然晶片卡每次交易後 key 都會改變, 但是 Cracker 讀取卡片都是最後交易完成的資料, 所以 Cracker 取得後交易, 若沒有將新 key 寫回晶片卡, 也許使用者下一次要用晶片卡就不能用了(沒用過不知道), 那其實是很快的吧, 幾分鐘而已~

上次有人分享網路銀行就討論過了, 對 Cracker 來說若讀取晶片卡資料不是什麼難事, 只要晶片卡一插入, 資料就被竊取了~~~

***講的更簡單一點, 讀卡機插在自己的電腦, 等於插在 Cracker 的電腦, 你的電腦只是一個 Gateway 而已~! 就像 RS-232 Gateway 一樣~! 因為驅動程式已經不是原廠的了。

上帝保佑每個人的電腦都沒有木馬吧~~

呵..晶片卡不是那麼簡單的啦.....
你使用WebATM時...每做一個動作, 都會由晶片卡產生一組Key...而這組Key只能用一次.
因此...就算這組Key被側錄......也是已用過的Key....沒用了.

我也有一堆晶片卡, 但用WebATM並不常用.. 最常用的是華南銀行的網路銀行.
只要向華南銀行申請OTP密碼機制. 華南銀行會給你一個看起來像計算機的OTP密碼產生器.
要作轉帳的時候. 只要把晶片卡(當然是要用華銀的) 插入. 按下晶片卡的密碼..這個OTP密碼產生器會產生一組密碼. 只要用這組密碼就可以作非約定帳戶轉帳. 不然一般用SSL方式的網路銀行只能作約定帳戶轉帳.
而這個密碼....也只能用一次.. 要再轉帳...就要再產生另一組密碼來用了.

jason206

jason206
個人積分：74分
文章編號：559877

74分

18樓

2005-05-18 11:53

喔...還有一台計算機喔....沒用過, 完全不敢用....

請問, OTP 有接電腦嗎?
按下計算機, OTP計算機 access Private key 產生 Publick Key, 然後再丟給電腦(或者等電腦來抓), OTP內沒有把 Private key 傳給電腦的程式, PC 電腦也存取不到 Private Key 內容,
自然行成保護, 是這樣嗎?

這台 OTP 應該也是無法 Update firmware 吧? 不然.....嘿嘿....

不知道設計 OTP 的程式設計師有沒有留後門

kevinnnn

kevinnnn
個人積分：1分
文章編號：560030

1分

19樓

2005-05-18 13:37

otp全名是~~one time password

俗稱的otp token就是一隻類似手錶的東西
不接電腦，按個按鍵就會產生一組隨機密碼
沒有什麼private key or public key(他不是PKI阿^^)
就只有一隻OTP key
原理是在server 端有對應的一隻otp key與otp token做challenge
因為不接電腦，所以相對安全(木馬沒辦法安裝)

但是otp其實只是一種技術
要在webATM做，當然還是可行的
只要卡片有這支key，配合AP當然也可以產生隨機密碼

至於這種裝置的原廠有沒有後門~~
嘖嘖，那就不在技術安全討論到的部份了

jason206

jason206
個人積分：74分
文章編號：560237

74分

20樓

2005-05-18 16:21

喔...原來如此.....
現在想起來之前有廠商來推銷過類似東西,
可以作門禁管制, 或登入 Windows 系統或網路, 也是使用一張硬體的卡片,
那張卡片上的密碼會一直改變(應該是根據時間和內設的 private key定時作自動改變).......

目前很多廠商的資訊系統也有使用, 或給外包或配合廠商登入用的...

>原理是在server 端有對應的一隻otp key
這個 otp key 其實可以看作 Private key, 產生的密碼可以看作 Public key, 只是沒有那麼長, otp key 必須同時存在 Server 與 Client(手錶或卡片) 對吧? 還是我有所誤解呢...

這個方法即使遠端駭客取得對方未使用的密碼, 密碼也無用, 銀行應該還有作 session challenge, 那麼除了在使用者輸入完密碼後, 直接把使用者踢出去, 介入使用者的操控權, 還有其他方法嗎?

木馬機器人監測使用者電腦難度就很高了, 而且踢出去馬上被發現

能不能把木馬寫到把 IE 嵌入木馬, 啟動 IE 時其實是啟動木馬, 裡面類似 IE OLE 的做法, 在使用者送出前, 直接把 UI 的資料改掉, 但是即使改掉, 送到銀行主機, 主機還是會處理後, 再次把資料丟回來 user 畫面作確認, 此時 user 就會發現帳號金額變不同了~(銀行應該有做的這麼嚴謹吧? 嗎?) 其實銀行丟回來資料顯示在 UI 上時, 木馬還是可以把資料改成使用者之前輸入的帳號金額資料, 就不會被發覺, 這種方法和假銀行網站類似, 換成木馬假 IE, 使用者看到木馬轉出來的畫面打假的, 真的在背後執行, 這樣和 key 無關, 和 SSL 也無關, 也和 TCPIP 無關, 直接從 UI 動手腳, 但是銀行又有虛擬鍵盤, 虛擬欄位這種東西, 或者再內嵌個什麼介面, 不知道寫不寫的出來......