近年来,移动支付浪潮兴起。在享受便捷移动支付服务的同时,手机也成了我们的“移动钱包”。与此同时,移动银行也带来了巨大的安全风险。360最近发布了2014年中国移动支付安全报告No.2》显示,在评估16家银行客户端登录机制的安全性时,账户密码 短信验证登录仍存在安全风险。
报告称,登录是用户使用移动银行客户端的第一步。在此过程中,用户通常会输入重要的隐私信息,如账户、登录密码或身份证信息。但目前,银行对移动银行安全流程的要求和进度不同。许多银行只依靠账户、密码和移动验证码来操作。一旦手机被盗,用户的登录过程被攻击者监控或劫持,短信被复制或拦截,手机银行账户资金的安全将受到威胁,甚至导致用户账户信息或银行存款被盗。
不久前,360移动安全中心收到了陈女士的投诉,称她几天前收到了一条短信,提醒她升级移动银行客户端。当时,陈女士登录了短信上显示的网站,下载并安装了新的客户端。然后,陈女士在登录界面中输入账户信息,点击界面中“提交”按钮后,提示“系统正在升级验证中,请稍等”。在多次尝试登录失败后,陈女士意外收到了银行卡被提现5万元的短信通知。经360安全专家检测,陈女士手机被木马击中。
原来,陈女士在收到短信中的网站链接后下载的软件被木马篡改。黑客通过木马完全获取了陈女士的网上银行账户、网上银行密码和短信验证码。黑客使用这三组数字,可以登录用户账户在另一部手机上消费。银行向陈女士发送的各种短信已被木马拦截并转发到黑客控制的号码。黑客可以很容易地使用被盗的陈女士账户进行各种在线支付,从而窃取陈女士的银行资金。
移动银行客户端的安全作为在线支付的重要工具,是互联网用户账户和资本安全的基础。360移动安全专家建议,在处理移动银行业务时,需要安装360移动电话警卫和其他安全软件,不要在手机上安装未知或潜在的危险程序。同时,设置敏感应用程序的访问密码,一旦手机丢失,立即远程销毁手机数据。此外,用户应减少个人信息的泄露,特别是手机号码、身份证号码、电子邮件等敏感信息,拒绝会员卡、彩票等过度诱惑。