随着互联网金融的发展,电子支付已经占据了移动支付的大半江山,但往往道高一尺魔高一丈,近期发生了多起手机银行遭盗窃信息骗取钱财的事件。专家认为,目前,不法分子制作假冒网银升级助手、盗版手机网银客户端、钓鱼支付宝等恶意软件,严重威胁移动支付安全。
而根据360互联网安全中心日前发布的《2014年第二期中国移动支付安全报告》显示,国内手机银行客户端中,黑客有七种方法利用木马偷取用户敏感信息
案例
轻信“手机银行升级”
前几日,市民秦先生(化名)接到一条以“955”开头的××银行客服的短信:“尊敬的××银行用户,您的手机银行将于今日过期,请立即登录我行网站以激活更新。”秦先生点击了链接,打开网页发现界面与××银行官网极为相似,就根据短信提示在激活网页上填写了银行账号。
此时,对方发来信息说要修改密码并且要输入手机验证码,秦先生又将手机收到的验证码填写到网页内。“升级”步骤完成了,但很快秦先生便收到48888元被转走的短信。
银行卡遭异地复制
近日北京媒体报道称,一男子称绑定银行账户手机卡遭他人异地复制,账户现金被划走。根据报道,9月26日,在北京工作的袁先生手机突然没有信号,几小时后,工资卡内10万元结婚款被人转走。据了解,有人在异地补办了其手机卡,并用手机银行转账的方式将钱转走。
招数
招数一:假冒银行服务端攻击
如果客户端在登录过程中不对服务端的身份进行校验,就有可能连接到假冒的银行服务端上,从而导致用户名、密码等信息被窃取。在本次测评的16款银行客户端中,共有3款银行客户端存在忽略服务端证书校验安全漏洞。
招数二:
后台记录键盘信息
需键盘输入的都是关键、敏感的信息,如登录密码、支付密码、账户信息、资金信息等。如手机键盘的输入过程被木马病毒或黑客监听,将造成用户信息的泄漏。
招数三:
网银账户信息裸奔
如果账户信息页面被设置成为可直接导出,那么不需经过登录过程,就可查看用户的网银账户信息,相当于账户信息在裸奔。没有任何一款银行客户端软件具有反Activity劫持的能力。
招数四:仿登录界面钓账号密码
恶意程序会启动仿冒银行的登录界面,用户在仿冒界面里输入资料致账号和密码被盗。16款手机银行客户端软件中,没有一款客户端能单独解决这类问题。
招数五:利用安卓系统漏洞渗透
由于安卓系统存在一些问题,用户手机中诸多的系统漏洞得不到及时修复。专家认为,木马可轻松突破“自绘键盘”的防护,直接获取用户的账号密码。
招数六:
二次打包制造盗版
攻击者用逆向分析工具,将银行客户端程序进行反编译,并向反编译结果中加入恶意代码,发布到审核不严格的第三方市场中。
招数七:短信劫持获取验证码
本次测评的16款手机银行客户端软件均采用“账号密码+短信验证码”的伪双因素认证体系,在面对木马攻击时非常脆弱。虽已有银行推广双因素认证系统,但大多数用户仍在用上述认证方式。
防盗有招
1.在任何情况下,切勿将登录密码及交易密码告知他人;
2.为保证交易安全,建议启用手机安全锁功能,设置使用密码,防止他人未经许可操作您的手机;
3.建议安装专用防病毒软件防范手机病毒,尽量少通过WLAN、蓝牙或存储卡安装不必要的第三方应用软件;
4.手机丢失或更换手机号码后,及时暂停或注销手机银行业务。