黑客有七種方法入侵內(nèi)地手機(jī)銀行客戶端 利用木馬盜用戶信息

　　隨著互聯(lián)網(wǎng)金融的發(fā)展，電子支付已經(jīng)占據(jù)了移動(dòng)支付的大半江山，但往往道高一尺魔高一丈，近期發(fā)生了多起手機(jī)銀行遭盜竊信息騙取錢財(cái)?shù)氖录?。專家認(rèn)為，目前，不法分子制作假冒網(wǎng)銀升級(jí)助手、盜版手機(jī)網(wǎng)銀客戶端、釣魚支付寶等惡意軟件，嚴(yán)重威脅移動(dòng)支付安全。

　　而根據(jù)360互聯(lián)網(wǎng)安全中心日前發(fā)布的《2014年第二期中國移動(dòng)支付安全報(bào)告》顯示，國內(nèi)手機(jī)銀行客戶端中，黑客有七種方法利用木馬偷取用戶敏感信息

　　案例

　　輕信“手機(jī)銀行升級(jí)”

　　前幾日，市民秦先生（化名）接到一條以“955”開頭的××銀行客服的短信：“尊敬的××銀行用戶，您的手機(jī)銀行將于今日過期，請(qǐng)立即登錄我行網(wǎng)站以激活更新?！鼻叵壬c(diǎn)擊了鏈接，打開網(wǎng)頁發(fā)現(xiàn)界面與××銀行官網(wǎng)極為相似，就根據(jù)短信提示在激活網(wǎng)頁上填寫了銀行賬號(hào)。

　　此時(shí)，對(duì)方發(fā)來信息說要修改密碼并且要輸入手機(jī)驗(yàn)證碼，秦先生又將手機(jī)收到的驗(yàn)證碼填寫到網(wǎng)頁內(nèi)?！吧?jí)”步驟完成了，但很快秦先生便收到48888元被轉(zhuǎn)走的短信。

　　銀行卡遭異地復(fù)制

　　近日北京媒體報(bào)道稱，一男子稱綁定銀行賬戶手機(jī)卡遭他人異地復(fù)制，賬戶現(xiàn)金被劃走。根據(jù)報(bào)道，9月26日，在北京工作的袁先生手機(jī)突然沒有信號(hào)，幾小時(shí)后，工資卡內(nèi)10萬元結(jié)婚款被人轉(zhuǎn)走。據(jù)了解，有人在異地補(bǔ)辦了其手機(jī)卡，并用手機(jī)銀行轉(zhuǎn)賬的方式將錢轉(zhuǎn)走。

　　招數(shù)

　　招數(shù)一：假冒銀行服務(wù)端攻擊

　　如果客戶端在登錄過程中不對(duì)服務(wù)端的身份進(jìn)行校驗(yàn)，就有可能連接到假冒的銀行服務(wù)端上，從而導(dǎo)致用戶名、密碼等信息被竊取。在本次測評(píng)的16款銀行客戶端中，共有3款銀行客戶端存在忽略服務(wù)端證書校驗(yàn)安全漏洞。

　　招數(shù)二：

　　后臺(tái)記錄鍵盤信息

　　需鍵盤輸入的都是關(guān)鍵、敏感的信息，如登錄密碼、支付密碼、賬戶信息、資金信息等。如手機(jī)鍵盤的輸入過程被木馬病毒或黑客監(jiān)聽，將造成用戶信息的泄漏。

　　招數(shù)三：

　　網(wǎng)銀賬戶信息裸奔

　　如果賬戶信息頁面被設(shè)置成為可直接導(dǎo)出，那么不需經(jīng)過登錄過程，就可查看用戶的網(wǎng)銀賬戶信息，相當(dāng)于賬戶信息在裸奔。沒有任何一款銀行客戶端軟件具有反Activity劫持的能力。

　　招數(shù)四：仿登錄界面釣賬號(hào)密碼

　　惡意程序會(huì)啟動(dòng)仿冒銀行的登錄界面，用戶在仿冒界面里輸入資料致賬號(hào)和密碼被盜。16款手機(jī)銀行客戶端軟件中，沒有一款客戶端能單獨(dú)解決這類問題。

　　招數(shù)五：利用安卓系統(tǒng)漏洞滲透

　　由于安卓系統(tǒng)存在一些問題，用戶手機(jī)中諸多的系統(tǒng)漏洞得不到及時(shí)修復(fù)。專家認(rèn)為，木馬可輕松突破“自繪鍵盤”的防護(hù)，直接獲取用戶的賬號(hào)密碼。

　　招數(shù)六：

　　二次打包制造盜版

　　攻擊者用逆向分析工具，將銀行客戶端程序進(jìn)行反編譯，并向反編譯結(jié)果中加入惡意代碼，發(fā)布到審核不嚴(yán)格的第三方市場中。

　　招數(shù)七：短信劫持獲取驗(yàn)證碼

　　本次測評(píng)的16款手機(jī)銀行客戶端軟件均采用“賬號(hào)密碼+短信驗(yàn)證碼”的偽雙因素認(rèn)證體系，在面對(duì)木馬攻擊時(shí)非常脆弱。雖已有銀行推廣雙因素認(rèn)證系統(tǒng)，但大多數(shù)用戶仍在用上述認(rèn)證方式。

　　防盜有招

　　1.在任何情況下，切勿將登錄密碼及交易密碼告知他人；

　　2.為保證交易安全，建議啟用手機(jī)安全鎖功能，設(shè)置使用密碼，防止他人未經(jīng)許可操作您的手機(jī)；

　　3.建議安裝專用防病毒軟件防范手機(jī)病毒，盡量少通過WLAN、藍(lán)牙或存儲(chǔ)卡安裝不必要的第三方應(yīng)用軟件；

　　4.手機(jī)丟失或更換手機(jī)號(hào)碼后，及時(shí)暫停或注銷手機(jī)銀行業(yè)務(wù)。