冒充10086非法盜取近200萬元
- 發佈時間:2015-07-30 09:32:26 來源:中國品質報 責任編輯:田燕
只因為點擊了顯示為“10086”發來的“積分兌換現金”的連結,浙江省湖州市民錢先生的銀行卡裏近8000元就被盜取了。近日,浙江警方破獲的多起案例顯示,通過短信等多種方式植入手機的木馬程式和釣魚連結,正威脅著用戶的個人隱私和財産安全。
據調查發現,隨著移動互聯網的發展,手機網路安全事件正呈高發狀態,除了冒充“10086”等偽基站短信發的連結,類似“測一測你的前世”等一些有趣的應用連結,也可能藏有盜取用戶個人資訊的木馬程式。
利用釣魚連結獲利數百萬元
浙江市民錢先生的手機不久前收到一條顯示為“10086”的號碼發來的資訊:“你的手機積分可以換取270元錢,可以上網提現”,並附有網址連結。在按提示輸入了姓名、電話、農業銀行卡號和密碼後,錢先生卡裏的7948元被提走。
在浙江警方查明的這起系列案件中,犯罪嫌疑人冒充中國移動客服10086,在浙江等多地通過偽基站向手機用戶發送“10086積分兌換現金”活動的連結,非法盜取近200萬元。在浙江警方破獲的另外一起案件中,犯罪嫌疑人利用短信等方式向受害人發送木馬程式連結,總計詐騙或竊取至少250萬元。
浙江省公安廳網警總隊總工程師蔡林介紹,利用釣魚網站、木馬APK程式侵害用戶財産安全的案件不斷發生。這類木馬APK程式往往是通過短信連結、手機APP嵌入等方式進入手機系統。
數據顯示,在安卓智慧手機終端快速增長的2013年,我國平均每天有27萬人的安卓手機被惡意程式所感染,其中資費消耗和惡意扣費類程式的感染量最高,分別佔到總量的52%和24%。
“測測前世”竟是釣魚連結
據調查發現,利用手機和移動網際網路應用程式的漏洞,盜取用戶資訊乃至獲利的案件,其手法也在不斷翻新。
利用熱點事件,集中發送釣魚網站連結。比如,在高考結束後的一段時期,多地考生及家長收到了包含“高考查分APP”的短信連結。奇虎360手機安全研究團隊負責人宋申雷告訴記者,很多這類APP實際就是一個木馬,只要用戶點擊下載安裝,它就會在手機後臺“安營紮寨”,“短信驗證通知、銀行卡密碼、支付寶密碼等都有可能被竊取。”
利用用戶獵奇心理,暗中盜取個人資訊。“測測你的前世是什麼人”等小應用程式就通過微信平臺廣泛傳播。蔡林等專家認為,正是利用用戶的獵奇心理和對平臺的信任,一些包含木馬的釣魚網頁才會具有強大的傳播力,一些用戶的資訊正是通過所謂的授權認證而洩露。
入侵具有信譽的“安全APP”,據專家介紹,用戶在不安全的網路環境下點擊“更新應用程式”,或者看到好看的“輸入法皮膚”點擊下載時,惡意木馬就有可能趁機植入正常程式當中,不僅可以獲取用戶保存的個人資料,還可以通過提取用戶敲擊鍵盤的數據讀取交易密碼。
移動APP存監測盲區
據業內人士透露,儘管各類移動APP後臺漏洞不斷暴露,用戶資訊洩露、財産被竊取的案例也頻頻發生,但是由於網路空間沒有地域概念,移動APP存在監測盲區,很多案件立案難。
比如,在浙江警方破獲的案件中,犯罪嫌疑人的作案地點遍及多個省市,嫌疑人團夥分佈在吉林延邊、福建龍岩、浙江金華等多地,作案對象甚至包括我國台灣地區的手機用戶。“對此,還應進一步發揮國家資訊安全漏洞共用平臺的作用,強化第三方漏洞監測和公眾監督機制,保證用戶的個人資訊和財産安全。”宋申雷説。
專家認為,對於近5.6億移動網際網路用戶來説,首先還應提高辨別能力,避免被惡意連結欺詐。“比如,要養成從正規網站登錄的習慣,遇到要求輸入手機號甚至銀行卡等個人資訊的手機網頁時,需要提高警惕,對於需要用戶‘授權並登錄’的跳轉頁面,應多留一個心眼。”宋申雷説。
蔡林表示,因流量不足而到處尋覓“免費WIFI”的手機用戶,也要避免接入無需驗證的公共WIFI。但一旦連入‘黑網’,就有可能因資訊洩露而蒙受巨大損失。”
業內人士提醒,手機丟失後,應第一時間凍結與移動支付相關聯的銀行卡賬號、支付寶賬號等,“此外,也不要將自己的身份證掃描件存在移動終端上,以免被不法分子利用。”蔡林説。