安全報告:帳號密碼+短信驗證登錄手機銀行存風險
責編:admin |2014-07-23 13:46:25近年來,手機支付大潮興起,享受便捷移動支付服務的同時,手機儼然變身成我們的“移動錢包”。與此同時,手機銀行也帶來了很大的安全隱患。據360近期發布的《2014年第二期中國移動支付安全報告》顯示,在對16款銀行客戶端的登錄機制安全性進行測評的過程中,賬號密碼+短信驗證登錄的方式依舊存在安全隱患。
《報告》指出,登錄,是用戶使用手機銀行客戶端的第一步,在這個過程中,用戶一般會輸入自己的賬號、登錄密碼或身份證信息等重要的隱私信息。但是目前各家銀行的手機銀行安全程序要求和進展不一,多家銀行僅靠賬戶、密碼以及手機驗證碼進行操作,手機一旦被盜竊,用戶的登錄過程被攻擊者監聽或劫持、短信被復制或攔截,那么手機銀行的賬戶資金安全就會受到威脅,甚至導致用戶賬戶信息被盜或銀行存款被盜刷。
不久前,360手機安全中心接到陳女士的投訴,稱前幾日收到升級手機銀行客戶端的短信提醒,當時陳女士就登陸到短信上顯示的網址下載并安裝新的客戶端,隨后陳女士在登陸界面輸入了賬號信息,點擊界面中的“提交”按鈕后,卻被提示“系統正在升級驗證中,請稍后”。在經過幾次嘗試登陸失敗之后,陳女士意外的收到了銀行卡已被支取50000元的短信通知。經過360安全專家檢測,陳女士的手機中了木馬。
原來陳女士收到短信中的網址鏈接所下載的軟件遭到木馬篡改,黑客通過木馬已經完全的獲取了陳女士的網銀帳號、網銀密碼和短信驗證碼。黑客使用這三組數字,就能在另外一部手機上登錄用戶賬戶并進行消費。銀行發送到陳女士原來的手機號碼的各種短信,已經被木馬攔截并轉發到了黑客控制的號碼上。黑客可以輕松的使用盜來的陳女士賬戶進行各種網上支付,從而盜刷陳女士的銀行資金。
手機銀行客戶端作為網上支付的重要工具,其自身的安全性是網民賬戶、資金安全的基礎。360手機安全專家建議,辦理手機銀行業務時,需要安裝360手機衛士等安全軟件,不在手機上安裝來歷不明、可能有危險的程序。同時,設置敏感應用的訪問密碼,一旦手機丟失,立即遠程銷毀手機數據。另外,用戶要減少個人信息泄露,特別是手機號、身份證號、電子郵箱等敏感信息,拒絕過多的辦理會員卡、抽獎等誘惑。