一个支付宝被盗的受害者的求助

zaqwe3008

金山  不错啊............

yixuebin

同情楼主，以后记得绑定手机

fcerebel

怡宝 发表于 2011-6-17 11:21
感谢你的讲解，看了了解了大概！我能否模糊的理解为“钓鱼”呢？你说的被盗的方法我觉得跟钓鱼很相似！为 ...

可以这么理解：


不管是数字证书(储存在U盾/电脑中)、碰撞口令(动态密码)、手机绑定，还是其它的办法：

它们只能做到对令牌的保护，也就是说，只能达到"你不给出授权，就绝不会动用账户"的程度

然而，攻击者完全可以伪造一个页面(远程伪造，那就是钓鱼，本地伪造，一般用木马)，让你相信"我是在正确合法的页面，我会授权网银进行支付动作"

有一种效的应对方式，是使用那些带显示屏的U盾，它会显示账单号，以供验证

这样的方法又可能涉及新的攻击入口，也许在某一天会被利用也说不定

怡宝

fcerebel 发表于 2011-6-18 18:36
可以这么理解：

呵呵，是，钓鱼这个东西，现在越来越牛逼了！   不过你说的这个“钓鱼”对数字证书或者手机验证等保护措施，是进行中间数据过滤拦截？然后让你自己本地进行数字证书或者手机认证，传输认证数据时被中间拦截，让支付宝误认为中间拦截者是真实的用户？然后中间拦截者返回给用户一个钓鱼虚拟界面，然后中间拦截者在第三方进行了支付宝或者网银真实交易操作？    如果是这样的话，相当于说是“破解”了支付宝的这个安全机制额？哈哈，我看支付宝的数字证书的说明里还专门说了不会被中间拦截之类的哇，呵呵，当时看的时候我知道不能全信，不过没想到真的这么弱？

sanhu35

隐藏进程
    [3248] C:\WINDOWS\system32\wuauclt.exe
看看这个文件，正常不应该是隐藏的啊

hannn

怡宝 发表于 2011-6-17 11:21
感谢你的讲解，看了了解了大概！我能否模糊的理解为“钓鱼”呢？你说的被盗的方法我觉得跟钓鱼很相似！为 ...

当时我的笔记本是没有绑定数字证书的，那1、2天都是用手机验证码登录旺旺的。照你的分析，难道真是被黑客破解了手机验证？还有，当我的旺旺提示被异地登录之后，我当时不知其所以然，重新登录了。疑惑就来了，支付宝被盗用是在我的阿里旺旺在线的情况下发生的。貌似同一个阿里旺旺账户被重复登录的话，之前黑客登录的旺旺状态应该是离线的，而支付宝等操作也不可能执行。我到现在也没弄明白是怎么被盗的。

lqmouse

hannn 发表于 2011-6-9 16:26
今天刚用上了支付盾，就怕被远程控制，这样支付盾也只是个摆设而已……

现阶段的各种安全措施都是有缺陷的，支付盾的缺点就是怕被远程控制本机，所以需要用的时候才插上，用完必须马上拔掉，千万不能偷懒。宝令看上去好像不错，与实机完全物理隔离，不怕被远程，很好的解决了支付盾的问题，但这个措施也不完美，因为它不能防止用户登录钓鱼网站被钓鱼，某国有大型银行就刚出过同样的问题。即使同时加上手机动态短信验证也不是完全保险的，同样无法防止被钓鱼，所以你要根据自己的使用习惯和防骗水平来选择适合自己的安全措施。

目前我知道的比较好一点的是一种自带按钮和LCD显示屏的usb令牌，在真正需要认证的时候小屏幕上会有提示，而且用户必须按一下令牌上面的那个实体按钮才能完成一次认证支付操作，支付几次按几次，每次支付都要按，不用担心本机被远程，钓鱼也能防，可惜没有看到国内哪个银行采用了这种usb令牌的，无语啊。

hannn

lqmouse 发表于 2011-6-20 09:25
现阶段的各种安全措施都是有缺陷的，支付盾的缺点就是怕被远程控制本机，所以需要用的时候才插上，用完必 ...

我现在感觉自己买错了支付盾，早知入手一个宝令比较稳妥。相对被远程控制，钓鱼网站的防范我感觉来得更容易一些，比如用卡巴的安全键盘。支付盾频繁插拨USB口，我现在害怕会不久后会烧掉主板或者USB口坏掉。哎。纠结啊，哥被盗的不是金钱，是对淘宝安全的信任

lqmouse

hannn 发表于 2011-6-20 09:31
我现在感觉自己买错了支付盾，早知入手一个宝令比较稳妥。相对被远程控制，钓鱼网站的防范我感觉来得更容 ...

呵呵，这也不一定哦，真正的钓鱼网站是会令人防不胜防的，一点也不容易分辨，相反usb形式的令牌给人感觉稍好一点，只要你使用方法正确，在支付的那几分钟才插上使用一下，用完立即拔掉，哪个黑客能有那么大的能耐和耐心守着远程你呢，除非他已经先控制了你的电脑，再以社会工程学的方法骗你登录网站插上u-key，否则他怎么能知道你的u-key什么时候插着呢。

我还是看好那种自带按钮和LCD显示屏的usb令牌，关键在于那个实体按键，可以很好的防止被远程啊，就是不知道什么时候能普及。。。

lianyeguzhou

hannn 发表于 2011-6-9 16:33
正在用趋势，如果连趋势的前摄保护都不能保我安全，那我对国产的就更加不抱信心了。

在国内外各项安全软件的排名中，趋势效果怎么样？一直不敢尝试趋势。。。。