操作方法
各大银行的手机官方应用是否就毫无风险呢?日前发布的《2014年第二期中国移动支付安全报告》,指出国产多个手机银行客户端有多处可被黑客利用的安全隐患,希望网友们在网银支付时多加防范,并表示已将漏洞移交给银行。 输入法、短信均可被黑客劫持 《2014年第二期中国移动支付安全报告》针对当前市面上最流行的十余家银行的手机银行客户端应用进行了一次全面的安全性测评,发现其中有7项漏洞易被黑客利用,依次为:假冒银行服务端,实施“中间人”攻击;后台记录键盘位置,窃取密码;恶意导出用户界面,网银账户信息“裸奔”;仿冒登录界面,钓走账号密码; 利用安卓系统漏洞,渗透网银客户端;二次打包制造盗版,主流客户端难防御;短信劫持获取验证码。 报告指出,手机输入法是黑客盯牢的目标,手机客户端上的账号密码等信息都是通过键盘输入,如手机键盘的输入过程被木马病毒或黑客监听,必将造成用户信息的泄漏。一般来说,主流手机银行客户端都在使用客户端自带输入法,不过报告指出有2款客户端使用系统默认输入法,也就是说,一旦默认的输入法程序感染了恶意代码,或是输入法程序被具有记录键盘数据能力的恶意程序监控,则会导致用户输入的账户或密码信息被恶意程序盗取。 钓鱼类山寨手机银行App也是一大隐患,上文中的陈女士便受此影响遭受损失。此类App会在后台监控前台窗口的运行,如果前台是一个银行应用的登录界面,恶意程序就立即启动自己的仿冒界面,这个动作可以快到用户无任何感知。用户在无察觉的情况下可能会在仿冒界面中输入用户名密码,进而导致账号和密码被盗。报告显示,测评的多个手机银行客户端无一能解决该难题。
手机银行客户端遭遇“二次打包”成盗版,以及短信劫持获取验证码的问题也成为黑客牟利的重要方式。不少网友在网银支付时都采用“账号密码+短信验证”的方式,然而一旦被可短信劫持的木马感染,这种双重保险依旧存在安全隐患。 【 郑重提醒】 切忌安装来路不明的程序 《报告》还表示,目前网银及支付类恶意软件主要以“点对点传播”为主,即通过聊天工具进行直接发送恶意软件的二维码下载链接,或通过短信向用户发送恶意软件的下载链接。少数恶意软件也会使用各种伪装并上传到论坛或第三方应用市场供网民下载使用,但从监测的数据来看,此类传播量不大。 提醒网友不要在手机上安装来历不明、可能有危险的程序,同时还应设置敏感应用的访问密码;如遇手机遗失,立马远程销毁手机数据。此外,用户也应尽量减少个人信息泄露,尤其是手机号、身份证号、电子邮箱等敏感信息。