剖析移动支付 打开手机安全“潘多拉魔盒”
京华时报制图谢瑶
2013年被公认为中国手机支付元年。短短一年多时间,支付宝、微信支付、百度钱包等第三方支付,以及传统金融机构移动端支付蓬勃发展。
技术的进步让人们的生活更为便利,然而伺机已久的黑客们也抓住这新兴产业的漏洞,将手伸进人们的“移动口袋”——手机里。
来自国内几大互联网安全巨头的最新报告显示,手机病毒尤其是针对移动支付的病毒正在呈几何倍数增长,黑客盗取用户资金和个人信息手段更隐蔽。
□手机支付安全报告
手机病毒迅猛暴增
手机支付是随着智能手机的普及和电子商务的发展而逐渐兴起的。来自中国互联网络信息中心(CNNIC)的统计显示,截至2013年12月底,中国网民规模达6.18亿,其中手机网民规模达5.0亿,同比增长19.0%,占总网民数的81.0%。手机支付用户规模达到1.25亿,同比增长了126.0%,占手机网民总量的25.0%。
而手机支付快速增长与各种与之相关的应用下载量激增相伴。根据360手机助手的下载量统计及相关第三方数据估算,在国内,与支付、网银、金融证券相关的各类移动应用的累计下载量已经超过4亿次。另外,随着微信的普及,微信支付的用户规模也相当可观。
腾讯近日发布的移动支付安
全报告称,2011年、2012年、2013年,腾讯手机管家截获的手机病毒包分别为:25404个、177407个、763351个。2012年是2011年的6.98倍,2013年截获的手机病毒包是2011年的30倍。2014年第一季度,截获手机病毒包数143945个,感染手机病毒用户数达到4318.81万,其中,手机支付类病毒呈现突飞猛进的发展势头。
金山毒霸安全中心观测发现,安卓系统的开放性使得安卓病毒增长极为迅速。在安卓可疑文件中,病毒检出率高达7%。金山毒霸安全中心还对验证码大盗类手机病毒的感染情况做过专门统计,截至目前,共拦截验证码大盗病毒样本2959个,每天被验证码大盗病毒感染的不同型号安卓手机达2800余部。
偷钱手段花样百出
腾讯移动安全实验室检测,在支付购物类APP中,电商类、支付类、团购类是下载量最多的三类手机支付类应用。电商类APP下载量和该类别感染的病毒包数均排名第一。
电商类APP感染病毒的软件款数占39.69%。理财类APP和第三方支付类APP,感染病毒的软件款数比例分别占27.19%、13.44%,分别位居第二和第三。其次易染毒的还有团购类、银行类、航空类APP。
2013年爆发的高风险手机支付病毒包括:伪装淘宝客户端窃取用户账号密码隐私的“伪淘宝”病毒、盗取20多家手机银行账号隐私的“银行窃贼”以及感染建设银行APP的“洛克蛔虫”等。
金山毒霸安全中心分析发现,手机端遭受的恶意攻击大概可总结为4种形式。第一种是手机验证码大盗。这种病毒的主要功能是拦截短信,然后将拦截下来的短信通过电子邮件或短信转发传递给“小偷”。“小偷”用偷来的验证码,从受害者处得到银行卡号等个人信息。
第二种是网购退款钓鱼。正常交易之后,骗子假冒网购卖家,谎称交易失败,联系买家退款。聊天过程中,发送钓鱼网站骗取受害者银行卡、身份证及验证码信息。
第三种是假冒身份证补办手机SIM卡。
第四种是办理信用卡骗取个人详细信息。
□安全事件案例
案例1
扫码扫到木马
河南一淘宝店主某天在网上售货,有买家说要和同学一起购买多款商品,担心买错款式,他们就用手机做了一个二维码清单。该店主扫描完二维码后,浏览器就跳转到一个文件下载页面,等安装并打开名为“购物清单”的apk文件后,看到的却是乱码。没隔几分钟,自己却收到网购充值卡成功的短信提醒,同时电脑也弹窗提示其支付宝在异地登录。
【解读】360安全专家提醒:通过二维码传播的木马,在启动后会发送激活短信和受害者的手机号给黑客,接着受害者手机中的所有短信就会被木马拦截并转发给黑客,然后黑客会利用其手机号盗刷受害者的网银。
因此,不要轻信陌生人发来的二维码信息,如果扫描二维码后打开的网站要求安装新应用程序,不要轻易安装;与陌生人进行网上交易或交流时,不要轻易更换交易或交流的平台(比如从PC到手机上);手机端和电脑端务必安装安全软件。
案例2
伪基站短信诈骗
不法分子将与电信运营商的无线基站同频的伪基站放入车中,在人群密集的街道和小区自动搜索附近的手机卡信息,发送广告或诈骗短信,甚至冒充95588等银行号码诱骗中招者访问虚假网银,盗刷银行账户资金。另外,冒充电信运营商号码,如13800138000的伪基站短信也不在少数。
还有大量伪基站伪装运营商、银行等官方号码发送欺诈短信,例如网银升级和U盾失效的短信,诱导受害者下载可以拦截和转发用户短信的手机木马。
【解读】腾讯安全专家解读,诈骗短信的钓鱼网址的域名往往会针对银行(如工商银行)的真实域名网址www.icbc.com.cn进行模仿,在icbc后面添加后缀或前缀。用户若点击该类钓鱼网址即会跳转到一个模仿复制的“工商银行手机银行(WAP)”的网站。如果手机用户根据网页要求输入银行账号、密码和验证码后,就会发现网银已被盗刷。
腾讯移动安全实验室专家提醒,即使是银行客服发来的短信,涉及到更新网银、转账等任何操作,都应该回拨银行客服电话核实后再进行操作。验证码、银行账号、密码是手机支付极为重要的隐私,切忌不可泄露,不要点击短信中链接与网址。
案例3
支付类病毒凶悍
迄今为止最凶悍的监控类手机支付类病毒是“银行悍匪”(a.rogue.bankrobber)。病毒可隐藏在后台窃取用户手机信息和短信信息,同时删除短信和私自发送短信,并且窃取用户的通话记录,还会根据短信命令控制手机。目前,银行悍匪可窃取超过20余家手机银行的账号密码,将其强制结束进程,同时弹出悬浮窗口骗取用户账号和密码。
【解读】安全专家指出,在正规渠道下载正规、安全的手机APP尤为重要。为应对凶悍的手机病毒和保障手机支付安全,百度移动安全总经理张磊建议用户,应设置手机开机密码,为手机提供最基础的安全防护;一定要在正规的软件商店或者官方网站下载网购、网银、支付类APP;同时要安装专业的手机安全软件;不给手机乱装软件,定期删除手机垃圾、清理缓存;不要随便点击不确定安全的链接,不随便扫二维码;不要使用公共WiFi进行手机支付。(编辑 蔡明奕)