黑客利用木馬偷取用戶信息七招
責(zé)編:admin |2014-10-29 18:32:13隨著互聯(lián)網(wǎng)金融的發(fā)展,電子支付已經(jīng)占據(jù)了移動支付的大半江山,但往往道高一尺魔高一丈,近期發(fā)生了多起手機(jī)銀行遭盜竊信息騙取錢財(cái)?shù)氖录<艺J(rèn)為,目前,不法分子制作假冒網(wǎng)銀升級助手、盜版手機(jī)網(wǎng)銀客戶端、釣魚支付寶等惡意軟件,嚴(yán)重威脅移動支付安全。
而根據(jù)360互聯(lián)網(wǎng)安全中心日前發(fā)布的《2014年第二期中國移動支付安全報(bào)告》顯示,國內(nèi)手機(jī)銀行客戶端中,黑客有七種招數(shù)利用木馬偷取用戶敏感信息。
招數(shù)一:
假冒銀行服務(wù)端攻擊
如果客戶端在登錄過程中不對服務(wù)端的身份進(jìn)行校驗(yàn),就有可能連接到假冒的銀行服務(wù)端上,從而導(dǎo)致用戶名、密碼等信息被竊取。
在本次測評的16款銀行客戶端中,共有3款銀行客戶端存在忽略服務(wù)端證書校驗(yàn)安全漏洞。
招數(shù)二:
后臺記錄鍵盤信息
需鍵盤輸入的都是關(guān)鍵、敏感的信息,如登錄密碼、支付密碼、賬戶信息、資金信息等。如手機(jī)鍵盤的輸入過程被木馬病毒或黑客監(jiān)聽,將造成用戶信息的泄漏。
招數(shù)三:
網(wǎng)銀賬戶信息裸奔
如果賬戶信息頁面被設(shè)置成為可直接導(dǎo)出,那么不需經(jīng)過登錄過程,就可查看用戶的網(wǎng)銀賬戶信息,相當(dāng)于賬戶信息在裸奔。沒有任何一款銀行客戶端軟件具有反Activity劫持的能力。
招數(shù)四:
仿登錄界面釣賬號密碼
惡意程序會啟動仿冒銀行的登錄界面,用戶在仿冒界面里輸入資料致賬號和密碼被盜。16款手機(jī)銀行客戶端軟件中,沒有一款客戶端能單獨(dú)解決這類問題。
招數(shù)五:
利用安卓系統(tǒng)漏洞滲透
由于安卓系統(tǒng)存在一些問題,用戶手機(jī)中諸多的系統(tǒng)漏洞得不到及時修復(fù)。專家認(rèn)為,木馬可輕松突破“自繪鍵盤”的防護(hù),直接獲取用戶的賬號密碼。
招數(shù)六:
二次打包制造盜版
攻擊者用逆向分析工具,將銀行客戶端程序進(jìn)行反編譯,并向反編譯結(jié)果中加入惡意代碼,發(fā)布到審核不嚴(yán)格的第三方市場中。
招數(shù)七:
短信劫持獲取驗(yàn)證碼
本次測評的16款手機(jī)銀行客戶端軟件均采用“賬號密碼+短信驗(yàn)證碼”的偽雙因素認(rèn)證體系,在面對木馬攻擊時非常脆弱。雖已有銀行推廣雙因素認(rèn)證系統(tǒng),但大多數(shù)用戶仍在用上述認(rèn)證方式。
- ISC.AI 2025正式啟動:AI與安全協(xié)同進(jìn)化,開啟數(shù)智未來
- 360安全云聯(lián)運(yùn)商座談會圓滿落幕 數(shù)十家企業(yè)獲“聯(lián)營聯(lián)運(yùn)”認(rèn)證!
- 280萬人健康數(shù)據(jù)被盜,兩家大型醫(yī)療集團(tuán)賠償超4700萬元
- 推動數(shù)據(jù)要素安全流通的機(jī)制與技術(shù)
- RSAC 2025前瞻:Agentic AI將成為行業(yè)新風(fēng)向
- 因被黑致使個人信息泄露,企業(yè)賠償員工超5000萬元
- UTG-Q-017:“短平快”體系下的高級竊密組織
- 算力并網(wǎng)可信交易技術(shù)與應(yīng)用白皮書
- 美國美中委員會發(fā)布DeepSeek調(diào)查報(bào)告
- 2024年中國網(wǎng)絡(luò)與信息法治建設(shè)回顧