最新数据显示,我国手机网民已达5.27亿。伴随着移动支付的兴起,越来越多的手机成为“第二钱包”。在大家享受便捷支付的同时,黑客们也“与时俱进”,目光不再局限在电脑,而转移至智能手机上。本周市经信委计算机病毒预报就显示,一个安卓木马可以伪装成一个合法的银行应用程序,窃取银行与用户间身份验证的详细信息。
各大银行的手机官方应用是否就毫无风险呢?日前,360互联网安全中心(下简称“该中心”)发布《2014年第二期中国移动支付安全报告》,指出国产多个手机银行客户端有多处可被黑客利用的安全隐患,希望网友们在网银支付时多加防范,并表示已将漏洞移交给银行。
一条木马短信致账户被盗5万元
几天前,陈女士收到一条升级手机银行客户端的短信提醒,她毫无戒备地按照短信上的网址下载并更新了新的客户端,随后她在登录界面上输入账号和密码信息,却一直无法登录,总是提示“系统正在升级验证中,请稍后”,反复多次尝试登录均告失败。之后,陈女士就意外地收到一条短信通知,显示她的银行卡已被划走5万元。
安全专家在接到陈女士的求助后检测分析,原来她收到的短信上的网址是木马下载地址,黑客通过山寨网银获取了陈女士的网银账号和密码,并劫持了短信验证码。黑客凭借这三组数字便可登录受害者账户并进行资金操作,而银行发送给陈女士的通知短信,也能被木马拦截并转发至黑客的号码上,这样一来,她的“第二钱包”差不多成了黑客的钱包了。
记者了解到,上海市经济和信息化委员会在本周发布的计算机病毒预报中,一个名为“Android.Selfmite”的木马赫然在目。该木马安装后会伪装成合法的银行应用程序,然后窃取银行和用户间身份验证的信息。
输入法、短信均可被黑客劫持
该中心最新发布的《2014年第二期中国移动支付安全报告》,针对当前市面上最流行的十余家银行的手机银行客户端应用进行了一次全面的安全性测评,发现其中有7项漏洞易被黑客利用,依次为:假冒银行服务端,实施“中间人”攻击;后台记录键盘位置,窃取密码;恶意导出用户界面,网银账户信息“裸奔”;仿冒登录界面,钓走账号密码; 利用安卓系统漏洞,渗透网银客户端;二次打包制造盗版,主流客户端难防御;短信劫持获取验证码。
报告指出,手机输入法是黑客盯牢的目标,手机客户端上的账号密码等信息都是通过键盘输入,如手机键盘的输入过程被木马病毒或黑客监听,必将造成用户信息的泄漏。一般来说,主流手机银行客户端都在使用客户端自带输入法,不过报告指出有2款客户端使用系统默认输入法,也就是说,一旦默认的输入法程序感染了恶意代码,或是输入法程序被具有记录键盘数据能力的恶意程序监控,则会导致用户输入的账户或密码信息被恶意程序盗取。
钓鱼类山寨手机银行App也是一大隐患,上文中的陈女士便受此影响遭受损失。此类App会在后台监控前台窗口的运行,如果前台是一个银行应用的登录界面,恶意程序就立即启动自己的仿冒界面,这个动作可以快到用户无任何感知。用户在无察觉的情况下可能会在仿冒界面中输入用户名密码,进而导致账号和密码被盗。报告显示,测评的多个手机银行客户端无一能解决该难题。
记者还了解到,手机银行客户端遭遇“二次打包”成盗版,以及短信劫持获取验证码的问题也成为黑客牟利的重要方式。不少网友在网银支付时都采用“账号密码+短信验证”的方式,然而一旦被可短信劫持的木马感染,这种双重保险依旧存在安全隐患。
[郑重提醒]
切忌安装来路不明的程序
《报告》还表示,目前网银及支付类恶意软件主要以“点对点传播”为主,即通过聊天工具进行直接发送恶意软件的二维码下载链接,或通过短信向用户发送恶意软件的下载链接。少数恶意软件也会使用各种伪装并上传到论坛或第三方应用市场供网民下载使用,但从监测的数据来看,此类传播量不大。
该中心提醒网友不要在手机上安装来历不明、可能有危险的程序,同时还应设置敏感应用的访问密码;如遇手机遗失,立马远程销毁手机数据。此外,用户也应尽量减少个人信息泄露,尤其是手机号、身份证号、电子邮箱等敏感信息。