項(xiàng)目二網(wǎng)上支付的安全使用

項(xiàng)目二網(wǎng)上支付的安全使用

1項(xiàng)目介紹了解網(wǎng)上支付的安全風(fēng)險(xiǎn)與需求分析任務(wù)二任務(wù)三任務(wù)四網(wǎng)上支付的安全管理了解網(wǎng)上支付的相關(guān)安全技術(shù)網(wǎng)上支付的SSL與SET協(xié)議機(jī)制網(wǎng)上支付的安全使用任務(wù)一項(xiàng)目介紹了解網(wǎng)上支付的安全風(fēng)險(xiǎn)與需求分析任務(wù)二任務(wù)三任務(wù)四網(wǎng)2

應(yīng)知目標(biāo)了解網(wǎng)上支付面臨的安全問題與安全需求了解并掌握網(wǎng)絡(luò)支付的安全策略及解決方法了解并掌握網(wǎng)上支付的安全技術(shù)——防火墻技術(shù)、數(shù)字機(jī)密技術(shù)、數(shù)字摘要技術(shù)、數(shù)字簽名技術(shù)、數(shù)字時(shí)間戳的工作機(jī)理

了解數(shù)字證書的基本概念與CA中心的功能了解并掌握SSL和SET安全協(xié)議的基本原理與工作程序

應(yīng)會(huì)目標(biāo)能夠識(shí)別網(wǎng)上支付安全風(fēng)險(xiǎn)掌握網(wǎng)上支付數(shù)字證書的申請(qǐng)、安裝與使用能夠掌握網(wǎng)上支付的安全使用方法應(yīng)知目標(biāo)3任務(wù)一

了解網(wǎng)上支付的安全風(fēng)險(xiǎn)與需求分析

知識(shí)點(diǎn)、能力點(diǎn)了解網(wǎng)上支付面臨的安全風(fēng)險(xiǎn)了解網(wǎng)上支付的安全需求任務(wù)一了解網(wǎng)上支付的安全風(fēng)險(xiǎn)與需求分析

知識(shí)點(diǎn)、能力點(diǎn)4任務(wù)情境2019年2月份發(fā)現(xiàn)的一種騙取美邦銀行（SmithBarney）用戶的賬號(hào)和密碼的“網(wǎng)絡(luò)釣魚”電子郵件，該郵件利用了IE的圖片映射地址欺騙漏洞，并精心設(shè)計(jì)腳本程序，用一個(gè)顯示假地址的彈出窗口遮擋住了IE瀏覽器的地址欄，使用戶無法看到此網(wǎng)站的真實(shí)地址。當(dāng)用戶使用未打補(bǔ)丁的Outlook打開此郵件時(shí)，狀態(tài)欄顯示的鏈接是虛假的。當(dāng)用戶點(diǎn)擊鏈接時(shí)，實(shí)際連接的是釣魚網(wǎng)站。

國內(nèi)曾網(wǎng)上傳得沸沸揚(yáng)揚(yáng)的“光大證券網(wǎng)銀木馬（newup.exe）”病毒著實(shí)讓大家緊張了一把，甚至某些媒體做出“多款證券交易軟件捆綁網(wǎng)銀木馬程序”這樣的報(bào)道。

面對(duì)諸多網(wǎng)上偷盜事件，網(wǎng)上支付中的安全威脅有哪些？我們?cè)撊绾巫R(shí)別與預(yù)防網(wǎng)上支付時(shí)出現(xiàn)各種安全風(fēng)險(xiǎn)呢？本任務(wù)將對(duì)網(wǎng)上支付的安全風(fēng)險(xiǎn)的識(shí)別與防范方法進(jìn)行一個(gè)全面的認(rèn)識(shí)與學(xué)習(xí)。任務(wù)情境5任務(wù)分析

在網(wǎng)上支付與結(jié)算中，資金支付結(jié)算體系問題是電子商務(wù)中主要的安全隱患發(fā)生點(diǎn)?；贗nternet平臺(tái)的電子商務(wù)必然涉及客戶、商家、銀行及相關(guān)管理認(rèn)證部門等多方機(jī)構(gòu)，以及它們之間可能的資金劃撥，使得客戶和商家必須充分考慮支付體系是否安全。因此，保證安全是推廣應(yīng)用網(wǎng)上支付與結(jié)算方式的根本基礎(chǔ)。本學(xué)習(xí)任務(wù)中，我們將了解網(wǎng)上支付面臨的安全風(fēng)險(xiǎn)與網(wǎng)上支付的安全需求。任務(wù)分析6任務(wù)實(shí)施一、了解網(wǎng)上支付面臨的安全風(fēng)險(xiǎn)1．互聯(lián)網(wǎng)環(huán)境的安全隱患2.黑客攻擊3．信息安全風(fēng)險(xiǎn)任務(wù)實(shí)施71．互聯(lián)網(wǎng)環(huán)境的安全隱患短信詐騙1．互聯(lián)網(wǎng)環(huán)境的安全隱患8項(xiàng)目2-1網(wǎng)上支付的安全使用43張課件9項(xiàng)目2-1網(wǎng)上支付的安全使用43張課件10項(xiàng)目2-1網(wǎng)上支付的安全使用43張課件11項(xiàng)目2-1網(wǎng)上支付的安全使用43張課件12項(xiàng)目2-1網(wǎng)上支付的安全使用43張課件13項(xiàng)目2-1網(wǎng)上支付的安全使用43張課件14項(xiàng)目2-1網(wǎng)上支付的安全使用43張課件15項(xiàng)目2-1網(wǎng)上支付的安全使用43張課件16視屏：一條驗(yàn)證短信引發(fā)的傾家蕩產(chǎn)

視屏：一條驗(yàn)證短信引發(fā)的傾家蕩產(chǎn)

172．黑客對(duì)網(wǎng)上支付的主要攻擊方式（1）釣魚網(wǎng)站和服務(wù)器攻擊（2）鍵盤記錄（3）嵌入瀏覽器執(zhí)行（4）屏幕“錄像”（5）竊取數(shù)字證書文件（6）偽裝窗口2．黑客對(duì)網(wǎng)上支付的主要攻擊方式18釣魚網(wǎng)站和服務(wù)器攻擊：“釣魚”：黑客首先建立一個(gè)酷似支付方官方網(wǎng)站的假頁面，用于誘騙用戶輸入賬號(hào)和密碼等，或者包含用于種植木馬的惡意腳本，然后給假網(wǎng)頁申請(qǐng)一個(gè)酷似官方網(wǎng)站的域名，等待用戶由于拼寫錯(cuò)誤而鏈接進(jìn)來等方式引誘用戶訪問假頁面。網(wǎng)絡(luò)釣魚（Phishing）攻擊者利用欺騙性的電子郵件和偽造的Web站點(diǎn)來進(jìn)行網(wǎng)絡(luò)詐騙活動(dòng)，受騙者往往會(huì)泄露自己的私人資料，如信用卡號(hào)、銀行卡賬戶、身份證號(hào)等內(nèi)容。詐騙者通常會(huì)將自己偽裝成網(wǎng)絡(luò)銀行、在線零售商和信用卡公司等可信的品牌，騙取用戶的私人信息。

釣魚網(wǎng)站和服務(wù)器攻擊：19網(wǎng)絡(luò)釣魚流程圖

網(wǎng)絡(luò)釣魚流程圖

20案例一：網(wǎng)銀大盜南方的早春總是伴著綿綿細(xì)雨，難得今天是個(gè)晴朗天，某服裝公司的張經(jīng)理帶著十幾個(gè)重要員工來到郊外一個(gè)魚塘進(jìn)行垂釣活動(dòng)。張經(jīng)理放置好釣具后，便打開了隨身攜帶的筆記本電腦并連上網(wǎng)絡(luò)，他想利用這點(diǎn)時(shí)間處理一下最近的一筆生意。秘書見他在這種時(shí)候還離不開工作，便勸他：“經(jīng)理，今天是游玩的日子，難得放松一下，今天還是不要處理公司業(yè)務(wù)了吧……您不怕釣竿被魚叼走了？”張經(jīng)理對(duì)秘書笑了笑，看著身前的釣竿緩緩說道：“都說姜太公釣魚，愿者上鉤，但是如果不知道提竿的時(shí)機(jī)，即將到手的魚也會(huì)溜走的。等這筆生意談妥，我再休息也不遲。”說罷又繼續(xù)低頭敲鍵盤。生意終于談妥，客戶把貨款轉(zhuǎn)入張經(jīng)理的銀行賬戶，張經(jīng)理笑了：“這條大魚終于被我釣到了”。然后他登上網(wǎng)絡(luò)銀行賬戶查看轉(zhuǎn)賬情況，奇怪密碼不正確，他記得昨天才修改過密碼的，估計(jì)沒有成功，換舊密碼登陸吧。當(dāng)頁面上顯示出賬戶剩余金額時(shí)，張經(jīng)理心里一緊，接著有了暈眩的感覺：賬戶里原來的存款不翼而飛，頁面里惟有客戶剛剛轉(zhuǎn)入的貨款，仿佛在嘲笑著張經(jīng)理。案例一：網(wǎng)銀大盜南方的早春總是伴著綿綿細(xì)雨，難得今天是個(gè)晴朗21張經(jīng)理做夢(mèng)也沒想到，這一次，他成了別人釣上的魚，而且是大魚報(bào)。警察正在分析張經(jīng)理那臺(tái)筆記本電腦硬盤里的數(shù)據(jù)，張經(jīng)理本人在報(bào)案時(shí)因心臟病發(fā)作而住進(jìn)了醫(yī)院。由于無法得知張經(jīng)理最后一次登錄網(wǎng)絡(luò)銀行的時(shí)間，而且系統(tǒng)里也沒有感染任何偷盜賬號(hào)的后門程序，案件變得有點(diǎn)撲朔迷離起來。一個(gè)分析員無意中打開了Foxmail，發(fā)現(xiàn)最后一封信件是銀行發(fā)送的，主題為“XX網(wǎng)絡(luò)銀行關(guān)于加強(qiáng)賬戶安全的通告”，分析員預(yù)測(cè)案件與這封信件有重大關(guān)系，馬上打開閱讀。這是一封HTML網(wǎng)頁模板的信件，內(nèi)容大意為銀行為了加強(qiáng)賬戶安全而升級(jí)了系統(tǒng)，請(qǐng)各位客戶盡快重新設(shè)置賬戶密碼，末尾還給出了設(shè)置密碼的URL鏈接。張經(jīng)理做夢(mèng)也沒想到，這一次，他成了別人釣上的魚，而且是大魚報(bào)22打開該鏈接，出現(xiàn)的是熟悉的網(wǎng)銀頁面（如下圖），安全人員仔細(xì)查看IE地址欄，發(fā)現(xiàn)地址欄內(nèi)容https://mybank.icbc.c0m/icbc/perbank/index.jsp，如果不仔細(xì)看，真看不出來是假冒！

打開該鏈接，出現(xiàn)的是熟悉的網(wǎng)銀頁面（如下圖），安全人員仔細(xì)查23幕后黑手果然在這里！分析員馬上查看信件源代碼，很快就找出了其中的貓膩：正如常說的“說的一套，做的一套”，這個(gè)郵件的作者采用了“看的一套，進(jìn)的一套”這種簡(jiǎn)單的欺騙手法，入侵者利用HTML語言里URL標(biāo)記的特性，把它寫成了這樣：<A>https://mybank.icbc/icbc/perbank/index.jsp</A>原因找到，點(diǎn)擊的網(wǎng)銀鏈接其實(shí)是訪問下面的騙子做的網(wǎng)站，唯一的區(qū)別是com

與c0m/icbc/perbank/index.jsp（騙子做的網(wǎng)站）假冒網(wǎng)站網(wǎng)頁偽造得與真正的銀行頁面完全一致，但是它的登陸功能卻是把賬號(hào)和密碼發(fā)送到了幕后的“垂釣者”手上，然后“垂釣者”登錄上真正的網(wǎng)絡(luò)銀行改了受害者設(shè)置的密碼，并順手牽羊把銀行賬戶里的存款轉(zhuǎn)移掉。這樣釣來的魚，即使是小魚也會(huì)讓“垂釣者”在夢(mèng)里發(fā)出笑聲來了，即使一條太小，積累起來的數(shù)目也會(huì)變得相當(dāng)可觀了。在金錢的誘惑下，“垂釣者”一次又一次提竿，殊不知，他自己也是被金錢釣竿釣上的一條魚。將來網(wǎng)絡(luò)購物興起的時(shí)候，恐怕很多人都要小心了，目前已經(jīng)出現(xiàn)很多淘寶網(wǎng)購物欺騙案件和支付寶使用不當(dāng)遭受損的實(shí)例，請(qǐng)認(rèn)真閱讀，或許會(huì)受到啟發(fā)，明白網(wǎng)絡(luò)釣魚無處不在。幕后黑手果然在這里！分析員馬上查看信件源代碼，很快就找出了其24案例二：網(wǎng)絡(luò)釣魚（淘寶網(wǎng)）

案例二：支付0.1元被套20581元網(wǎng)民小香想在淘寶網(wǎng)上購買一張價(jià)值50元的手機(jī)充值卡，拍下之后付款到賣家的支付寶，賣家叫小香登錄某網(wǎng)站，用網(wǎng)銀匯款0.1元到他的賬戶里，說是用來提取單號(hào)，通過單號(hào)來提取充值卡密碼。小香心想：既然都付了40多元錢到支付寶上了，也不在乎那0.1元了。于是按提示支付，可多次出現(xiàn)超時(shí)問題，當(dāng)初以為是電腦瀏覽器問題，于是和淘寶上那位賣充值卡的賣家說了，他說讓他的“技術(shù)人員”加小香QQ，加了后，一番交談，進(jìn)入了“技術(shù)人員”所提供的支付網(wǎng)站，登錄網(wǎng)站后，在付款的前一刻，支付金額清清楚楚寫著“0.10元”，按了付款后，一分鐘內(nèi)，手機(jī)收到銀行的短信，內(nèi)容說“銀行支出20581元”!

提醒：其實(shí)小香聯(lián)系的兩個(gè)人提供的網(wǎng)站都是釣魚網(wǎng)站，第一個(gè)應(yīng)該是網(wǎng)站出現(xiàn)了問題沒有成功，于是又讓小香聯(lián)系所謂的“技術(shù)人員”，以此再次蒙蔽小香的防范意識(shí)，發(fā)送了新的釣魚網(wǎng)站進(jìn)行行騙。支付寶安全專家提醒說，網(wǎng)民不要隨意打開聊天工具中發(fā)送過來的陌生網(wǎng)址，也可以加強(qiáng)支付寶賬戶的安全系數(shù)，綁定手機(jī)，申請(qǐng)數(shù)字證書，開通手機(jī)動(dòng)態(tài)口令服務(wù)，這些服務(wù)都是完全免費(fèi)的。案例二：網(wǎng)絡(luò)釣魚（淘寶網(wǎng)）案例二：支付0.1元被套205825

如何防備網(wǎng)絡(luò)釣魚？

不要在網(wǎng)上留下可以證明自己身份的任何資料，包括手機(jī)號(hào)碼、身份證號(hào)、銀行卡號(hào)碼等。

不要把自己的隱私資料通過網(wǎng)絡(luò)傳輸，包括銀行卡號(hào)碼、身份證號(hào)、電子商務(wù)網(wǎng)站賬戶等資料不要通過QQ、MSN、Email等軟件傳播，這些途徑往往可能被黑客利用來進(jìn)行詐騙。

不要相信網(wǎng)上流傳的消息，除非得到權(quán)威途徑的證明。如網(wǎng)絡(luò)論壇、新聞組、QQ等往往有人發(fā)布謠言，伺機(jī)竊取用戶的身份資料等。

不要在網(wǎng)站注冊(cè)時(shí)透露自己的真實(shí)資料。例如住址、住宅電話、手機(jī)號(hào)碼、自己使用的銀行賬戶、自己經(jīng)常去的消費(fèi)場(chǎng)所等。騙子們可能利用這些資料去欺騙你的朋友。

如果涉及到金錢交易、商業(yè)合同、工作安排等重大事項(xiàng)，不要僅僅通過網(wǎng)絡(luò)完成，有心計(jì)的騙子們可能通過這些途徑了解用戶的資料，伺機(jī)進(jìn)行詐騙。

不要輕易相信通過電子郵件、網(wǎng)絡(luò)論壇等發(fā)布的中獎(jiǎng)信息、促銷信息等，除非得到另外途徑的證明。正規(guī)公司一般不會(huì)通過電子郵件給用戶發(fā)送中獎(jiǎng)信息和促銷信息，而騙子們往往喜歡這樣進(jìn)行詐騙。

如何防備網(wǎng)絡(luò)釣魚？不要26鍵盤記錄：通過木馬監(jiān)視用戶正在操作的窗口，如果發(fā)現(xiàn)用戶正在訪問某網(wǎng)銀的登入頁面，就開始從鍵盤上記錄所有從鍵盤上記錄的輸入內(nèi)容。

2019年的“網(wǎng)銀大盜2”木馬是一個(gè)典型的案例。同以前的“網(wǎng)銀大盜”病毒不同的是，每一步登錄信息都被記錄。據(jù)反病毒專家介紹，該病毒采用易語言進(jìn)行編寫，偽裝成rar圖標(biāo)，引誘用戶進(jìn)行點(diǎn)擊。系統(tǒng)每次啟動(dòng)的時(shí)候，病毒都會(huì)被再次運(yùn)行。同時(shí)，病毒運(yùn)行時(shí)尋找指定銀行和商戶名稱的窗口標(biāo)題，如果發(fā)現(xiàn)這些窗口標(biāo)題，病毒就開始啟動(dòng)對(duì)用戶登錄信息進(jìn)行記錄，包括用戶名和密碼。病毒還對(duì)用戶的每一步的登錄信息進(jìn)行拍照，即便是軟鍵盤輸入也會(huì)被記錄。從而盜取多家網(wǎng)上銀行及支付寶等系統(tǒng)的交易賬戶和密碼。鍵盤記錄：通過木馬監(jiān)視用戶正在操作的窗口，如果發(fā)現(xiàn)用戶正在訪27

嵌入瀏覽器執(zhí)行：

多數(shù)網(wǎng)銀交易都是通過網(wǎng)頁瀏覽器完成的，嵌入瀏覽器進(jìn)程中的惡意代碼能夠獲取用戶當(dāng)前訪問的頁面地址和頁面內(nèi)容，此外還能夠在用戶數(shù)據(jù)以SSL安全加密方式發(fā)送出去之前獲取它們。利用這種技術(shù)的木馬通常會(huì)動(dòng)態(tài)改變用戶正在瀏覽的頁面內(nèi)容，比如增加一段用以獲得帳號(hào)密碼然后發(fā)送出去的javascript腳本或者讓瀏覽器自動(dòng)打開另外一個(gè)惡意的網(wǎng)頁。使用網(wǎng)頁腳本制作的虛擬鍵盤在對(duì)付這類木馬時(shí)會(huì)完全失效。

"網(wǎng)銀大盜"木馬(Trojan/PSW.HidWebMon)就利用了這種技術(shù)，它監(jiān)測(cè)到用戶正在訪問某個(gè)引用了安全登錄控件的地址時(shí)就會(huì)讓瀏覽器自動(dòng)跳轉(zhuǎn)到另外一個(gè)網(wǎng)頁。后者看上去和正常登錄頁面沒什么兩樣，只是沒有任何安全登錄控件的保護(hù)。

嵌入瀏覽器執(zhí)行：

多數(shù)網(wǎng)銀交易都是通過網(wǎng)28

對(duì)于那些只對(duì)交易對(duì)話進(jìn)行驗(yàn)證，而沒有對(duì)交易過程進(jìn)行驗(yàn)證的系統(tǒng)，嵌入瀏覽器的惡意代碼甚至可以完全控制一次交易。這樣的交易系統(tǒng)只對(duì)用戶身份進(jìn)行驗(yàn)證，而在用戶身份確定之后無條件的執(zhí)行任何來自用戶的指令。木馬可以等到用戶驗(yàn)證通過后再開始工作，攔截用戶的轉(zhuǎn)賬操作，篡改數(shù)據(jù)后發(fā)送給服務(wù)器，服務(wù)器沒有辦法區(qū)分給它發(fā)出轉(zhuǎn)賬指令的是用戶還是木馬，直接執(zhí)行了轉(zhuǎn)賬，木馬再把服務(wù)器返回的信息篡改后顯示給用戶。目前，這種技術(shù)只在國外的一些網(wǎng)銀木馬上看到，國內(nèi)尚未發(fā)現(xiàn)這樣的例子。

29屏幕"錄像"：有些網(wǎng)銀木馬的確會(huì)進(jìn)行"錄像"，它們并不會(huì)生成體積龐大的視頻文件，而只是在鍵盤記錄的基礎(chǔ)上，額外記錄了用戶點(diǎn)擊鼠標(biāo)時(shí)的鼠標(biāo)坐標(biāo)，以及當(dāng)時(shí)的屏幕截圖。黑客根據(jù)這些數(shù)據(jù)，可以完全回放出用戶在進(jìn)行交易時(shí)敲擊了哪些鍵、點(diǎn)擊了哪些按鈕、看到了什么結(jié)果。"證券大盜"(Trojan/PSW.Soufan)就是這樣的木馬，它抓取的屏幕截圖是黑白色的，數(shù)據(jù)量很小，但對(duì)于病毒作者來說，這些黑白圖片加上鍵盤鼠標(biāo)數(shù)據(jù)已經(jīng)足夠了。

屏幕"錄像"：有些網(wǎng)銀木馬的確會(huì)進(jìn)行"錄像"，它們并不會(huì)生30證券大盜證券大盜31項(xiàng)目2-1網(wǎng)上支付的安全使用43張課件32項(xiàng)目2-1網(wǎng)上支付的安全使用43張課件33竊取數(shù)字證書文件：數(shù)字證書是網(wǎng)銀交易的一項(xiàng)重要安全保護(hù)措施。它是互聯(lián)網(wǎng)通訊中標(biāo)志通訊各方身份信息的一系列數(shù)據(jù)，提供了一種在Internet上驗(yàn)證身份的方式，其作用類似于司機(jī)的駕駛執(zhí)照或日常生活中的身份證。竊取數(shù)字證書文件：數(shù)字證書是網(wǎng)銀交易的一項(xiàng)重要安全保護(hù)措施。342019年9月，美國網(wǎng)絡(luò)專家仔細(xì)觀察了某個(gè)人銀行系統(tǒng)保存證書的整個(gè)流程后，編寫了木馬，他的程序能夠準(zhǔn)確識(shí)別這個(gè)流程的每個(gè)步驟，自動(dòng)記錄必要的數(shù)據(jù)，最終再復(fù)制一份證書文件。木馬作者利用盜取的證書和其他必要信息達(dá)到非法使用證書的最終目的。2019年9月，美國網(wǎng)絡(luò)專家仔細(xì)觀察了某個(gè)人銀行系統(tǒng)保存證書35虛擬網(wǎng)絡(luò)中，我如何才能相信你？？？虛擬網(wǎng)絡(luò)中，我如何才能相信你？？？36偽裝窗口：2019年，國內(nèi)出現(xiàn)了一系列新的網(wǎng)銀木馬，它們都是TrojanSpy.Banker.yy的變種，感染了很多用戶。這類木馬首先向IE瀏覽器注入一個(gè)DLL，用以監(jiān)視當(dāng)前網(wǎng)頁的網(wǎng)址，同時(shí)記錄鍵盤。當(dāng)發(fā)現(xiàn)用戶輸入了卡號(hào)、密碼并進(jìn)行提交以后，迅速隱藏瀏覽器，彈出自己的窗口。木馬彈出的窗口看上去和在線理財(cái)?shù)捻撁娣浅Ｏ嗨?，并且包含一?釣魚"文字，稱由于系統(tǒng)維護(hù)需要，用戶必須重新輸入密碼。只有當(dāng)用戶再次輸入的密碼和最初登錄時(shí)的密碼吻合時(shí)，木馬才會(huì)把密碼發(fā)送給木馬作者。偽裝成瀏覽器界面的木馬實(shí)現(xiàn)簡(jiǎn)單，雖然技術(shù)上