手機銀行“升級”后賬戶4.8萬元蒸發
責編:admin |2014-10-16 14:40:13隨著互聯網金融的發展,電子支付已經占據了移動支付的大半江山,但往往道高一尺魔高一丈,近期發生了多起手機銀行遭盜竊信息騙取錢財的事件。專家認為,目前,不法分子制作假冒網銀升級助手、盜版手機網銀客戶端、釣魚支付寶等惡意軟件,嚴重威脅移動支付安全。
而根據360互聯網安全中心日前發布的《2014年第二期中國移動支付安全報告》顯示,國內手機銀行客戶端中,黑客有七種方法利用木馬偷取用戶敏感信息
案例
輕信“手機銀行升級”
前幾日,市民秦先生(化名)接到一條以“955”開頭的××銀行客服的短信:“尊敬的××銀行用戶,您的手機銀行將于今日過期,請立即登錄我行網站以激活更新。”秦先生點擊了鏈接,打開網頁發現界面與××銀行官網極為相似,就根據短信提示在激活網頁上填寫了銀行賬號。
此時,對方發來信息說要修改密碼并且要輸入手機驗證碼,秦先生又將手機收到的驗證碼填寫到網頁內。“升級”步驟完成了,但很快秦先生便收到48888元被轉走的短信。
銀行卡遭異地復制
近日北京媒體報道稱,一男子稱綁定銀行賬戶手機卡遭他人異地復制,賬戶現金被劃走。根據報道,9月26日,在北京工作的袁先生手機突然沒有信號,幾小時后,工資卡內10萬元結婚款被人轉走。據了解,有人在異地補辦了其手機卡,并用手機銀行轉賬的方式將錢轉走。
招數
招數一:假冒銀行服務端攻擊
如果客戶端在登錄過程中不對服務端的身份進行校驗,就有可能連接到假冒的銀行服務端上,從而導致用戶名、密碼等信息被竊取。在本次測評的16款銀行客戶端中,共有3款銀行客戶端存在忽略服務端證書校驗安全漏洞。
招數二:
后臺記錄鍵盤信息
需鍵盤輸入的都是關鍵、敏感的信息,如登錄密碼、支付密碼、賬戶信息、資金信息等。如手機鍵盤的輸入過程被木馬病毒或黑客監聽,將造成用戶信息的泄漏。
招數三:
網銀賬戶信息裸奔
如果賬戶信息頁面被設置成為可直接導出,那么不需經過登錄過程,就可查看用戶的網銀賬戶信息,相當于賬戶信息在裸奔。沒有任何一款銀行客戶端軟件具有反Activity劫持的能力。
招數四:仿登錄界面釣賬號密碼
惡意程序會啟動仿冒銀行的登錄界面,用戶在仿冒界面里輸入資料致賬號和密碼被盜。16款手機銀行客戶端軟件中,沒有一款客戶端能單獨解決這類問題。
招數五:利用安卓系統漏洞滲透
由于安卓系統存在一些問題,用戶手機中諸多的系統漏洞得不到及時修復。專家認為,木馬可輕松突破“自繪鍵盤”的防護,直接獲取用戶的賬號密碼。
招數六:
二次打包制造盜版
攻擊者用逆向分析工具,將銀行客戶端程序進行反編譯,并向反編譯結果中加入惡意代碼,發布到審核不嚴格的第三方市場中。
招數七:短信劫持獲取驗證碼
本次測評的16款手機銀行客戶端軟件均采用“賬號密碼+短信驗證碼”的偽雙因素認證體系,在面對木馬攻擊時非常脆弱。雖已有銀行推廣雙因素認證系統,但大多數用戶仍在用上述認證方式。
防盜有招
1.在任何情況下,切勿將登錄密碼及交易密碼告知他人;
2.為保證交易安全,建議啟用手機安全鎖功能,設置使用密碼,防止他人未經許可操作您的手機;
3.建議安裝專用防病毒軟件防范手機病毒,盡量少通過WLAN、藍牙或存儲卡安裝不必要的第三方應用軟件;
4.手機丟失或更換手機號碼后,及時暫停或注銷手機銀行業務。