最新數(shù)據(jù)顯示,,我國(guó)手機(jī)網(wǎng)民已達(dá)5.27億。伴隨著移動(dòng)支付的興起,,越來(lái)越多的手機(jī)成為“第二錢包”,。在大家享受便捷支付的同時(shí),黑客們也“與時(shí)俱進(jìn)”,,目光不再局限在電腦,,而轉(zhuǎn)移至智能手機(jī)上。本周市經(jīng)信委計(jì)算機(jī)病毒預(yù)報(bào)就顯示,,一個(gè)安卓木馬可以偽裝成一個(gè)合法的銀行應(yīng)用程序,,竊取銀行與用戶間身份驗(yàn)證的詳細(xì)信息。
各大銀行的手機(jī)官方應(yīng)用是否就毫無(wú)風(fēng)險(xiǎn)呢,?日前,,360互聯(lián)網(wǎng)安全中心(下簡(jiǎn)稱“該中心”)發(fā)布《2014年第二期中國(guó)移動(dòng)支付安全報(bào)告》,指出國(guó)產(chǎn)多個(gè)手機(jī)銀行客戶端有多處可被黑客利用的安全隱患,,希望網(wǎng)友們?cè)诰W(wǎng)銀支付時(shí)多加防范,,并表示已將漏洞移交給銀行。
一條木馬短信致賬戶被盜5萬(wàn)元
幾天前,,陳女士收到一條升級(jí)手機(jī)銀行客戶端的短信提醒,,她毫無(wú)戒備地按照短信上的網(wǎng)址下載并更新了新的客戶端,隨后她在登錄界面上輸入賬號(hào)和密碼信息,,卻一直無(wú)法登錄,,總是提示“系統(tǒng)正在升級(jí)驗(yàn)證中,請(qǐng)稍后”,,反復(fù)多次嘗試登錄均告失敗,。之后,陳女士就意外地收到一條短信通知,,顯示她的銀行卡已被劃走5萬(wàn)元,。
安全專家在接到陳女士的求助后檢測(cè)分析,原來(lái)她收到的短信上的網(wǎng)址是木馬下載地址,,黑客通過山寨網(wǎng)銀獲取了陳女士的網(wǎng)銀賬號(hào)和密碼,,并劫持了短信驗(yàn)證碼。黑客憑借這三組數(shù)字便可登錄受害者賬戶并進(jìn)行資金操作,,而銀行發(fā)送給陳女士的通知短信,,也能被木馬攔截并轉(zhuǎn)發(fā)至黑客的號(hào)碼上,這樣一來(lái),,她的“第二錢包”差不多成了黑客的錢包了,。
記者了解到,,上海市經(jīng)濟(jì)和信息化委員會(huì)在本周發(fā)布的計(jì)算機(jī)病毒預(yù)報(bào)中,一個(gè)名為“Android.Selfmite”的木馬赫然在目,。該木馬安裝后會(huì)偽裝成合法的銀行應(yīng)用程序,,然后竊取銀行和用戶間身份驗(yàn)證的信息。
輸入法,、短信均可被黑客劫持
該中心最新發(fā)布的《2014年第二期中國(guó)移動(dòng)支付安全報(bào)告》,,針對(duì)當(dāng)前市面上最流行的十余家銀行的手機(jī)銀行客戶端應(yīng)用進(jìn)行了一次全面的安全性測(cè)評(píng),發(fā)現(xiàn)其中有7項(xiàng)漏洞易被黑客利用,,依次為:假冒銀行服務(wù)端,,實(shí)施“中間人”攻擊;后臺(tái)記錄鍵盤位置,,竊取密碼,;惡意導(dǎo)出用戶界面,網(wǎng)銀賬戶信息“裸奔”,;仿冒登錄界面,,釣走賬號(hào)密碼; 利用安卓系統(tǒng)漏洞,,滲透網(wǎng)銀客戶端,;二次打包制造盜版,主流客戶端難防御,;短信劫持獲取驗(yàn)證碼,。
報(bào)告指出,手機(jī)輸入法是黑客盯牢的目標(biāo),,手機(jī)客戶端上的賬號(hào)密碼等信息都是通過鍵盤輸入,,如手機(jī)鍵盤的輸入過程被木馬病毒或黑客監(jiān)聽,必將造成用戶信息的泄漏,。一般來(lái)說(shuō),,主流手機(jī)銀行客戶端都在使用客戶端自帶輸入法,不過報(bào)告指出有2款客戶端使用系統(tǒng)默認(rèn)輸入法,,也就是說(shuō),,一旦默認(rèn)的輸入法程序感染了惡意代碼,或是輸入法程序被具有記錄鍵盤數(shù)據(jù)能力的惡意程序監(jiān)控,,則會(huì)導(dǎo)致用戶輸入的賬戶或密碼信息被惡意程序盜取,。
釣魚類山寨手機(jī)銀行App也是一大隱患,上文中的陳女士便受此影響遭受損失,。此類App會(huì)在后臺(tái)監(jiān)控前臺(tái)窗口的運(yùn)行,,如果前臺(tái)是一個(gè)銀行應(yīng)用的登錄界面,惡意程序就立即啟動(dòng)自己的仿冒界面,這個(gè)動(dòng)作可以快到用戶無(wú)任何感知,。用戶在無(wú)察覺的情況下可能會(huì)在仿冒界面中輸入用戶名密碼,,進(jìn)而導(dǎo)致賬號(hào)和密碼被盜。報(bào)告顯示,,測(cè)評(píng)的多個(gè)手機(jī)銀行客戶端無(wú)一能解決該難題,。
記者還了解到,手機(jī)銀行客戶端遭遇“二次打包”成盜版,,以及短信劫持獲取驗(yàn)證碼的問題也成為黑客牟利的重要方式,。不少網(wǎng)友在網(wǎng)銀支付時(shí)都采用“賬號(hào)密碼+短信驗(yàn)證”的方式,然而一旦被可短信劫持的木馬感染,,這種雙重保險(xiǎn)依舊存在安全隱患。
[鄭重提醒]
切忌安裝來(lái)路不明的程序
《報(bào)告》還表示,,目前網(wǎng)銀及支付類惡意軟件主要以“點(diǎn)對(duì)點(diǎn)傳播”為主,,即通過聊天工具進(jìn)行直接發(fā)送惡意軟件的二維碼下載鏈接,或通過短信向用戶發(fā)送惡意軟件的下載鏈接,。少數(shù)惡意軟件也會(huì)使用各種偽裝并上傳到論壇或第三方應(yīng)用市場(chǎng)供網(wǎng)民下載使用,,但從監(jiān)測(cè)的數(shù)據(jù)來(lái)看,此類傳播量不大,。
該中心提醒網(wǎng)友不要在手機(jī)上安裝來(lái)歷不明,、可能有危險(xiǎn)的程序,同時(shí)還應(yīng)設(shè)置敏感應(yīng)用的訪問密碼,;如遇手機(jī)遺失,,立馬遠(yuǎn)程銷毀手機(jī)數(shù)據(jù)。此外,,用戶也應(yīng)盡量減少個(gè)人信息泄露,,尤其是手機(jī)號(hào)、身份證號(hào),、電子郵箱等敏感信息,。
