二十年前盗号木马猖獗,只需要记录键盘输入就可以轻松搞到密码,对抗方法是软键盘,记得当年qq就有这种功能。
对抗软键盘的方法是鼠标位置记录,可以通过鼠标移动的相对位置推测密码,对抗方法是乱序软键盘,当年的网易梦幻西游就是这么干的。
对抗乱序软键盘的方法也有,我在黑客x档案上看到过,那就是在点击鼠标时截图。似乎有个对抗方法是在点击的瞬间让软键盘上的字符全部消失,截图只能看见空白键盘。(那个时代录屏非常困难,因为电脑速度太慢了,会产生各种异常现象)
之后的攻防我就不清楚了,因为网易祭出了绝招——将军令,也就是动态口令,这一招到现在还管用。
在手机上盗号原理是一样的,记录键盘输入+截图。
不过安卓软件有权禁止截图录屏,现在大多数网银都这么干。绕过截图限制的高权限也可以检测出来,比如支付宝能检出USB调试,一些网银会拒绝在root环境下运行。
唯有第三方键盘输入防不胜防,因为大多数输入法会上传你的输入内容。他们反复强调这是安全的,但总会被抓到漏洞。自带安全键盘是一种成本低效率高的优秀解决方案。
当然,最终转账时还是靠动态口令把关。
又及,乱序键盘还意外对抗了一种曾经问题不大,但逐渐成为问题的盗号方式:偷窥盗号。
偷窥盗号,就是站在你身后看你输入了什么。现在到处都是摄像头,已经不需要真人站在你的身后偷窥了,截取一段录像反复分析你的动作也不是问题,防不胜防。
有趣的是,当年乱序软键盘其实不能防偷窥,毕竟屏幕那么大,现在屏幕变小反而有了奇效。
不过软硬件工程师再怎么努力,也防不了降维打击,那就是网络诈骗,但这可能也说明了一个问题:在大家的努力下,传统盗号方式的效率降低了,才使得诈骗问题成为人们关注的焦点。
题主这种“没出事凭什么管我,出了事凭什么不管我”的巨婴思维,才是真正的大病,可惜社会太温柔,没把你淘汰掉。