手机银行须注意四大安全问题---深圳特区报
第A24版：今日财经/股市
标 题 导 航
第A01 : 要闻
第A02 : 广告
第A03 : 专题
第A04 : 评论
第A05 : 要闻
第A06 : 要闻
第A07 : 要闻
第A08 : 要闻
第A09 : 中国新闻
第A10 : 中国新闻
第A11 : 国际新闻
第A12 : 国际新闻
第A13 : 大都会新闻/综合
第A14 : 大都会新闻/深圳·法治
第A15 : 大都会新闻/深圳·民生/社会
第A16 : 专题
第A17 : 大都会新闻/深圳·文教
第A18 : 网事
第A19 : 体育新闻
第A20 : 体育新闻
第A21 : 今日财经/视点
第A22 : 今日财经/观察
第A23 : 今日财经/商界
第A24 : 今日财经/股市
第B01 : 人文天地
第B02 : 国学堂
第B03 : 人文天地/前海
第B04 : 人文天地/连载
第B05 : 人文天地/首发
第B06 : 人文天地/爱乐坊
第B07 : 人文天地/综艺场
第B08 : 时尚购物
手机银行须注意四大安全问题
陈丹淳 陈 曦 张 怡
█ 金融行业记者 陈丹淳 通讯员 陈 曦 张 怡 据不完全统计，2013年我国手机银行交易量已经突破12万亿元，成为金融业中重要、活跃的交易渠道。国内银行也普遍重视手机银行安全性问题。多数商业银行都采用国际标准的加密传输方式，在提供便捷金融服务的同时，全方位保障用户的账户及资金安全。专家表示，目前手机银行主要安全问题有四大类—— 首先，网络传输数据被截获。这一隐患是指在手机联入互联网的情况下，黑客有可能通过技术手段截获从手机客户端上传给银行服务器，或者从银行服务器下传给手机客户端的手机银行交易数据包，并分析偷取客户敏感信息。 记者从招商银行了解到，该行采用国际通用的SSL安全协议进行高强度的数据加密传输，即使网络传输的数据被截获，也无法解密和还原。SSL是在互联网上广泛使用的安全传输协议，安全强度相当高，想要破解SSL是非常困难的。在搜狐2013手机银行客户端评测报告中，招行手机银行以过硬的安全保障技术和极佳的用户体验感受，囊括“最佳安全奖”和“最佳手机银行”两项桂冠。 其次，“网络钓鱼”。这是指作案者通过各种途径诱使客户访问虚假网站、虚假网址并主动输入敏感信息的信息窃取方式。例如，招商银行手机银行防止这类情况的方法是，一方面主要提供基于C/S模式的客户端程序版本，并且服务器具有根据客户端特征识别客户端合法性的能力；另一方面银行也建立比较完善的钓鱼网站处理机制，从而具备完整的从客户、监控和流程建设等方面加强钓鱼网站的防范能力。 再次，手机被他人误操作，以及密码等重要信息泄露两种。工商银行手机银行采用通用U盾设备，既可以通过 USB接口与电脑相连，也可以通过音频接口与手机、ipad等移动设备相连。通用U盾不仅涵盖原网银U盾的功能，还采用了高强度信息加密、数字认证和数字签名技术，具有不可复制性，可以有效防范风险，保障客户网上交易安全，是目前网上银行及手机银行客户端安全级别较高的一种设备。深圳农行掌上银行则拥有注册手机号、登录密码、动态口令卡／K令及支付密码双重校验，“三重保障”环环相扣，安全严密。 最后，在更多使用细节上还可能出现的安全漏洞。例如，手机和PC不同的是，Android和iOS客户端程序的输入都必须通过输入法完成，如果密码输入调用第三方输入法，就极有可能给某些恶意输入法（或者是被篡改过的输入法）机会来窃取用户输入。这种窃取方法不需要特殊的权限，犯罪分子只要包装一个“输入法”即可达到目的，迷惑性强，难度低。目前部分银行已经通过提供自定义键盘来输入密码的手段对此进行防范。推荐这篇日记的豆列
······手机没中毒银行卡也会被盗刷，太可怕了! --百度百家
手机没中毒银行卡也会被盗刷，太可怕了!
分享到微信朋友圈
银行卡被盗刷本不是什么新闻，不外乎是手机中病毒中木马了，上了不安全的WIFI。。
很多人昨天都被央视的一条新闻吓到了：智能手机没有中病毒、甚至还在用功能机的人的银行卡都被盗刷了，自己的银行卡账号、密码在网上就像商品一样被人买卖。看到这里，教授惊出了一身冷汗，赶紧登录网银查了下自己的银行账户。还好钱还在，但总感觉不太放心，于是连夜修改了密码，取消了快捷支付，又把消费转账限额设置成了1块钱，还把手机恢复了出厂设置。
银行卡被盗刷本不是什么新闻，不外乎是手机中病毒中木马了，上了不安全的WIFI，稍微复杂一点的就是复制手机卡拦截验证码短信。这些教授早就和大家说过了，不要点击带链接的短信，不要连接公共WIFI，不要在手机上随便安装APP等。这些都是在互联网的环境下需要特别注意的事项，但不用联网也能大规模的盗刷银行卡这个我们确实没有预料到。
央视新闻讲到的一个新方式就是用改装过的POS机来获取银行卡的账号密码等信息。严格说来，这种方式其实并不新鲜，有些人就会在POS机上安装微型摄像头记录受害者的账号密码。但这一次的更先进了，直接就用改装过的POS机来截取银行卡信息，这种方式其实也需要联网才能实现，只不过受害者不知道而已。
十大电信诈骗犯名单
通过央视这次曝光POS机盗刷事件我们大概可以猜到，POS机盗刷问题已经很严重了，中招的人不在少数，否则不可能引起一个国家级媒体的追踪调查。就在昨天，公安部已经对10个特大电信诈骗犯发出了A级通缉令，如果能够提供抓捕线索，公安部将会提供每个5万元人民币的悬赏金额。
通过央视新闻我们可以发现，被盗刷的都是普通贷记卡，并且都有较大额度的存款，被盗刷的时候银行卡、身份证、手机都在身上。比如报道中的这位哈尔滨的李女士，她用一张有66000多元存款的银行卡频繁的刷卡消费，结果不幸在被改装过的POS机上刷了一次，泄露了密码，最终导致资金被转走。在这里，李女士最大的问题就是把大额存款银行卡当作日常消费卡来使用，安全意识不够高。
李女士的银行卡遭到盗刷后还收到了通知短信，得以及时报案处理，在另外一些案例中，受害者甚至不能及时收到短信，最终很晚才知道资金被盗。比如新闻中的另一位吴先生，他的手机因为中了病毒导致短信验证码被截取，最后五万多元存款被盗刷得只剩下三百元。在这里，吴先生是因为失误点击了短信中的病毒链接才中招的。
还有另外一种更危险的案例，就是受害者已经被犯罪分子盯上了，直接进行点对点诈骗。一些受害者的手机没有中病毒，但是诈骗分子在获得了账号密码之后，会采取接近受害者一公里之内进行验证码短信截取，从而达到转移资金的目的。为了确定受害者地址，犯罪分子有时候会假扮成快递员询问受害者的具体地址，然后再实施诈骗。
面对集团化、产业链条化又身在暗处的银行卡盗刷团伙，普通人如何应付？教授认为，如果我们每个人都有良好的资金管理习惯，即便诈骗分子们再厉害，也很难下得了手。&
1锁定大额存款
专门开一张银行卡用来储蓄大额资金，这张卡不开通网银和快捷支付，不绑定支付宝、微信、淘宝京东等第三方平台，不能进行任何网上转账消费，只能进行余额查询，且只能通过柜台进行转账，并开通余额变动短信提醒。如果不放心的话，平时还可以设置一个很低的转账限额，比如1块钱，需要用到大额资金的时候再取消这个限制，用完之后再恢复限额。此外，这张卡一定不要拿去刷POS机和ATM机，不在手机、电脑上登录账号，定期修改登录密码。
通过这种方式，可以最大限度的保证大额资金的安全，防止被盗刷，资金被窃取。
2管好小额资金
开一张银行卡用来保存小额资金，方便日常生活需求。大额资金被锁定后，取款就很不方便了，所以要再开一个小号。这张银行卡可以开通网银、快捷支付和手机银行，可以绑定第三方支付平台，ATM取钱、发红包等都可以。唯一的前提是，只存很少量的钱，用来应付生活中的取现需求，并且设置很低的取现额度。
3用信用卡消费
与贷记卡相比，用信用卡网购、刷卡消费的安全性更高，先消费再还款还能让自己的资金增值。如果用的顺手，建议小伙伴们用信用卡绑定网购平台消费、给手机充值，并设定消费限额，定期修改支付密码。这样即使诈骗分子得到了相关信息，要直接获得现金是没那么容易的。
最后要再次提醒小伙伴们，短信里的链接、公共的WIFI和不知名的APP，能不碰最好不要去碰。预防盗刷其实很简单，为了更多人的资金安全，互相都提醒下教授的建议吧。
分享到微信朋友圈
在手机阅读、分享本文
还可以输入250个字
推荐文章RECOMMEND
阅读：8612
阅读：14万
热门文章HOT NEWS
日，联想推出了AR手机。此前，华硕手机、华...
百度新闻客户端
百度新闻客户端
百度新闻客户端
扫描二维码下载
订阅 "百家" 频道
观看更多百家精彩新闻手机网银APP不够安全 揭秘手机木马偷钱七大招数
中新网7月23日电& 最新数据显示，我国手机网民已达5.27亿，移动支付半年增长63%，中国消费者已经进入移动支付时代。然而，不法分子制作假冒网银升级助手、盗版手机网银客户端、钓鱼支付宝等恶意软件，严重威胁移动支付安全。360互联网安全中心日前发布《2014年第二期中国移动支付安全报告》，国产16大手机银行客户端的安全性迎来大考，网银支付类木马的偷钱或骗钱的七大招数被揭穿。
　　假冒银行服务端
“中间人”攻击
《报告》显示，不论银行客户端使用的是何种登录加密机制，如果客户端在登录过程中不对服务端的身份进行校验，就有可能“信任”伪装身份的“冒牌服务端”，连接到假冒的银行服务端上，从而导致用户名、密码等信息被窃取。这种假冒服务端身份的攻击也被称为“中间人攻击”。
某手机银行客户端遭遇中间人攻击之后提示“通讯失败”
中间人攻击使攻击者可以冒充服务器与银行客户端进行通信，之后再冒充银行客户端与服务器进行通信，从而充当一个中间人的角色，在信息的传递过程中，窃取用户帐号、密码等信息。在本次测评的16款银行客户端中，共有3款银行客户端存在忽略服务端证书校验安全漏洞。
　后台记录键盘位置 窃取密码
使用手机银行客户端的过程中，需要键盘输入的往往都是关键、敏感的信息，如登录密码、支付密码、账户信息、资金信息等。如果手机键盘的输入过程被木马病毒或黑客监听，必将造成用户信息的泄漏。
《报告》指出，默认输入法实际上独立于系统和客户端之外。对于使用系统默认输入法的银行客户端软件来说，当用户在银行客户端中输入账户和密码时，输入的内容实际上是由输入法进程传给银行客户端的。一旦默认的输入法程序感染了恶意代码，或者是输入法程序被具有记录键盘数据能力的恶意程序监控，则会导致用户输入的账户或密码信息被恶意程序盗取。
　　恶意导出用户界面 网银账户信息裸奔
用户应当只有在登录银行客户端时才能查看自己的账户信息，但如果账户信息页面被设置成为可以直接导出，那么通过精心构造的程序可以不需要经过登录过程，就可以查看用户的网银账户信息，从而形成安全隐患。本次测评结果显示：在防范Activity劫持方面，则没有任何一款银行客户端软件具有反Activity劫持的能力，存在较大的安全隐患。
某手机银行客户端带有敏感信息的Activity被导出
　　仿冒登陆界面钓走账号密码
仿冒、钓鱼类的恶意程序可能会采用这样一种手法：在后台监控前台窗口的运行，如果前台是一个银行应用的登陆界面，恶意程序就立即启动自己的仿冒界面，这个动作可以快到用户无任何感知。用户在无察觉的情况下可能会在仿冒界面里中输入用户名密码，进而导致帐号和密码被盗。
更可怕的是，一款恶意程序甚至可以同时监测、仿冒和劫持多个银行客户端的登录界面。《报告》测评结果显示，在16款手机银行客户端软件中，没有任何一款客户端能单独解决这类问题。
　　利用安卓系统漏洞渗透网银客户端
由于安卓系统存在严重的碎片化问题，用户手机中诸多的系统漏洞得不到及时修复。木马程序有机会借助这些漏洞提升root权限，一旦木马注入到客户端进程中，便可轻而易举获取用户账号和密码。已经注入到银行客户端中的木马模块，可以轻松突破“自绘键盘”的防护，就能直接获取用户的账号密码明文等绝密信息。
影响面较广的一些可用于获取root权限的漏洞
　二次打包制造盗版 主流客户端难防御
攻击者可以使用逆向分析工具，将银行客户端程序进行反编译，并向反编译结果中加入恶意代码后，发布到一些审核不严格的第三方市场中。这些被二次打包发布的盗版银行客户端软件，对用户的支付安全造成了极其严重的安全威胁。
分析显示，本次测评的16款手机银行客户端均未能完全有效地防范逆向分析和二次打包，虽然一些客户端对自身签名进行了校验，但也很容易在重打包过程中被攻击者轻易篡改，起不到防止二次打包的作用。
　　短信劫持获取验证码
《报告》显示，本次测评的16款手机银行客户端软件采用的均是“帐号密码+短信验证码”的伪双因素认证体系。这种认证体系在面对具有短信劫持功能的手机木马攻击时，都显得非常脆弱。虽然已经有部分银行开始推广音频盾、蓝牙盾等双因素认证系统，但这些系统的使用不是强制性的，绝大多数用户仍在使用“帐号密码+短信验证码”的认证方式。
针对移动支付面临的种种安全威胁，360与建设银行、农业银行、工商银行、中国银行、民生银行等十余家银行展开了安全服务合作，为手机银行客户端提供独立的移动支付安全模块定制服务，包括盗版网银识别、木马病毒查杀、网络环境监控、支付环境监控、网址安全扫描、二维码扫描监控和短信加密认证七项措施，从而全面提升手机银行客户端的安全性。
(原标题：手机网银APP不够安全 揭秘手机木马偷钱七大招数)
本文来源：中国新闻网
关键词阅读：
不做嘴炮 只管约到
跟贴热词：
文明上网，登录发贴
网友评论仅供其表达个人看法，并不表明网易立场。
热门产品:　　　
:　　　　　　　　
:　　　　　　　　　
热门影院：