安全報告:帳號密碼+短信驗證登錄手機銀行存風(fēng)險
責(zé)編:admin |2014-07-23 13:46:25近年來,手機支付大潮興起,享受便捷移動支付服務(wù)的同時,手機儼然變身成我們的“移動錢包”。與此同時,手機銀行也帶來了很大的安全隱患。據(jù)360近期發(fā)布的《2014年第二期中國移動支付安全報告》顯示,在對16款銀行客戶端的登錄機制安全性進行測評的過程中,賬號密碼+短信驗證登錄的方式依舊存在安全隱患。
《報告》指出,登錄,是用戶使用手機銀行客戶端的第一步,在這個過程中,用戶一般會輸入自己的賬號、登錄密碼或身份證信息等重要的隱私信息。但是目前各家銀行的手機銀行安全程序要求和進展不一,多家銀行僅靠賬戶、密碼以及手機驗證碼進行操作,手機一旦被盜竊,用戶的登錄過程被攻擊者監(jiān)聽或劫持、短信被復(fù)制或攔截,那么手機銀行的賬戶資金安全就會受到威脅,甚至導(dǎo)致用戶賬戶信息被盜或銀行存款被盜刷。
不久前,360手機安全中心接到陳女士的投訴,稱前幾日收到升級手機銀行客戶端的短信提醒,當時陳女士就登陸到短信上顯示的網(wǎng)址下載并安裝新的客戶端,隨后陳女士在登陸界面輸入了賬號信息,點擊界面中的“提交”按鈕后,卻被提示“系統(tǒng)正在升級驗證中,請稍后”。在經(jīng)過幾次嘗試登陸失敗之后,陳女士意外的收到了銀行卡已被支取50000元的短信通知。經(jīng)過360安全專家檢測,陳女士的手機中了木馬。
原來陳女士收到短信中的網(wǎng)址鏈接所下載的軟件遭到木馬篡改,黑客通過木馬已經(jīng)完全的獲取了陳女士的網(wǎng)銀帳號、網(wǎng)銀密碼和短信驗證碼。黑客使用這三組數(shù)字,就能在另外一部手機上登錄用戶賬戶并進行消費。銀行發(fā)送到陳女士原來的手機號碼的各種短信,已經(jīng)被木馬攔截并轉(zhuǎn)發(fā)到了黑客控制的號碼上。黑客可以輕松的使用盜來的陳女士賬戶進行各種網(wǎng)上支付,從而盜刷陳女士的銀行資金。
手機銀行客戶端作為網(wǎng)上支付的重要工具,其自身的安全性是網(wǎng)民賬戶、資金安全的基礎(chǔ)。360手機安全專家建議,辦理手機銀行業(yè)務(wù)時,需要安裝360手機衛(wèi)士等安全軟件,不在手機上安裝來歷不明、可能有危險的程序。同時,設(shè)置敏感應(yīng)用的訪問密碼,一旦手機丟失,立即遠程銷毀手機數(shù)據(jù)。另外,用戶要減少個人信息泄露,特別是手機號、身份證號、電子郵箱等敏感信息,拒絕過多的辦理會員卡、抽獎等誘惑。
- 周鴻祎領(lǐng)銜!百所高校+企業(yè)組團亮相ISC.AI 2025“紅衣課堂”
- 港科大發(fā)布大模型越獄攻擊評估基準,覆蓋6大類別37種方法
- 引領(lǐng)智能運維!全新FortiAIOps 3.0重新定義IT運營
- MirageFlow:一種針對Tor的新型帶寬膨脹攻擊
- 英偉達約談事件的制度邏輯與趨勢展望
- 國家互聯(lián)網(wǎng)信息辦公室發(fā)布《國家信息化發(fā)展報告(2024年)》
- 火狐中國終止運營:辦公地?zé)o人,用戶賬號數(shù)據(jù)面臨清空
- 25年一直未變!網(wǎng)絡(luò)安全永恒的“十大法則”
- 關(guān)于征集數(shù)據(jù)安全評估標準化應(yīng)用實踐案例的通知
- ISC.AI 2025主題前瞻:ALL IN AGENT,全面擁抱智能體時代!