駭客有七種方法入侵內地手機銀行客戶端 利用木馬盜用戶資訊

　　隨著網際網路金融的發展，電子支付已經佔據了移動支付的大半江山，但往往道高一尺魔高一丈，近期發生了多起手機銀行遭盜竊資訊騙取錢財的事件。專家認為，目前，不法分子製作假冒網銀升級助手、盜版手機網銀客戶端、釣魚支付寶等惡意軟體，嚴重威脅移動支付安全。

　　而根據360網際網路安全中心日前發佈的《2014年第二期中國移動支付安全報告》顯示，國內手機銀行客戶端中，駭客有七種方法利用木馬偷取用戶敏感資訊

　　案例

　　輕信“手機銀行升級”

　　前幾日，市民秦先生（化名）接到一條以“955”開頭的××銀行客服的短信：“尊敬的××銀行用戶，您的手機銀行將於今日過期，請立即登錄我行網站以激活更新。”秦先生點擊了連結，打開網頁發現界面與××銀行官網極為相似，就根據短信提示在激活網頁上填寫了銀行賬號。

　　此時，對方發來資訊説要修改密碼並且要輸入手機驗證碼，秦先生又將手機收到的驗證碼填寫到網頁內。“升級”步驟完成了，但很快秦先生便收到48888元被轉走的短信。

　　銀行卡遭異地複製

　　近日北京媒體報道稱，一男子稱綁定銀行賬戶手機卡遭他人異地複製，賬戶現金被劃走。根據報道，9月26日，在北京工作的袁先生手機突然沒有信號，幾小時後，工資卡內10萬元結婚款被人轉走。據了解，有人在異地補辦了其手機卡，並用手機銀行轉賬的方式將錢轉走。

　　招數

　　招數一：假冒銀行服務端攻擊

　　如果客戶端在登錄過程中不對服務端的身份進行校驗，就有可能連接到假冒的銀行服務端上，從而導致用戶名、密碼等資訊被竊取。在本次測評的16款銀行客戶端中，共有3款銀行客戶端存在忽略服務端證書校驗安全漏洞。

　　招數二：

　　後臺記錄鍵盤資訊

　　需鍵盤輸入的都是關鍵、敏感的資訊，如登錄密碼、支付密碼、賬戶資訊、資金資訊等。如手機鍵盤的輸入過程被木馬病毒或駭客監聽，將造成用戶資訊的泄漏。

　　招數三：

　　網銀賬戶資訊裸奔

　　如果賬戶資訊頁面被設置成為可直接導出，那麼不需經過登錄過程，就可查看用戶的網銀賬戶資訊，相當於賬戶資訊在裸奔。沒有任何一款銀行客戶端軟體具有反Activity劫持的能力。

　　招數四：倣登錄界面釣賬號密碼

　　惡意程式會啟動倣冒銀行的登錄界面，用戶在倣冒界面裏輸入資料致賬號和密碼被盜。16款手機銀行客戶端軟體中，沒有一款客戶端能單獨解決這類問題。

　　招數五：利用安卓系統漏洞滲透

　　由於安卓系統存在一些問題，用戶手機中諸多的系統漏洞得不到及時修復。專家認為，木馬可輕鬆突破“自繪鍵盤”的防護，直接獲取用戶的賬號密碼。

　　招數六：

　　二次打包製造盜版

　　攻擊者用逆向分析工具，將銀行客戶端程式進行反編譯，並向反編譯結果中加入惡意代碼，發佈到審核不嚴格的第三方市場中。

　　招數七：短信劫持獲取驗證碼

　　本次測評的16款手機銀行客戶端軟體均採用“賬號密碼+短信驗證碼”的偽雙因素認證體系，在面對木馬攻擊時非常脆弱。雖已有銀行推廣雙因素認證系統，但大多數用戶仍在用上述認證方式。

　　防盜有招

　　1.在任何情況下，切勿將登錄密碼及交易密碼告知他人；

　　2.為保證交易安全，建議啟用手機安全鎖功能，設置使用密碼，防止他人未經許可操作您的手機；

　　3.建議安裝專用防病毒軟體防範手機病毒，儘量少通過WLAN、藍芽或存儲卡安裝不必要的第三方應用軟體；

　　4.手機丟失或更換手機號碼後，及時暫停或登出手機銀行業務。