【新聞閣2015年07月29日訊】隨着移動互聯網的發展,個人在網絡世界的曝光度越來越高,這正給了不法分子可乘之機,利用手機和移動互聯網應用程序的漏洞,盜取用户信息乃至獲利,其手法也在不斷翻新—— 利用熱點事件,集中發送釣魚網站鏈接,如“高考查分APP” “查看明日漲停股”等,很多這類APP實際就是一個木馬,只要用户點擊下載安裝,手機上的操作幾乎一覽無餘,銀行卡密碼、支付寶密碼等都有可能被竊取;利用用户獵奇心理,暗中盜取個人信息,在微信裏點擊“測測你的前世”等應用程序,登錄頁面時要求授權認證,個人重要信息就有可能被利用……
移動網絡安全受威脅 詐騙手法多樣多變不法分子囂張可怕
專家對此建議,用户應提高辨別能力,避免被各種惡意鏈接欺詐。比如,要養成從正規網站登錄的習慣,遇到要求輸入手機號甚至銀行卡等個人信息的手機網頁時,要提高警惕;要避免接入無須驗證的公共WIFI;手機丟失後,應第一時間凍結與移動支付相關聯的銀行卡賬號、支付寶賬號等。
只因為點擊了顯示為“10086”發來的“積分兑換現金”的鏈接,浙江省湖州市民錢先生的銀行卡里近8000元被盜取了。近日,浙江警方破獲的多起案例顯示,通過短信等多種方式植入手機的木馬程序和釣魚鏈接,正威脅着用户的個人隱私和財產安全。
移動網絡安全受威脅 詐騙手法多樣多變不法分子囂張可怕
新華視點記者調查發現,隨着移動互聯網的發展,手機網絡安全事件正呈高發狀態,除了冒充“10086”等偽基站短信發的鏈接,類似“測一測你的前世”等一些有趣的應用鏈接,也可能藏有盜取用户個人信息的木馬程序。
釣魚鏈接獲利數百萬 惡意吸費呈高發態勢
浙江市民錢先生的手機不久前收到一條顯示為“10086”的號碼發來的信息:“你的手機積分可以換取270元錢,可以上網提現”,並附有網址鏈接。“點進去之後覺得頁面很正規,就按提示輸入了姓名、電話、農業銀行卡號和密碼,但提交之後就再無音信了。”錢先生隨後去農業銀行查詢,發現卡里的7948元已全部被提走。
據浙江警方介紹,錢先生的遭遇並非個案。在浙江警方查明的這起系列案件中,犯罪嫌疑人冒充中國移動客服10086,在浙江、重慶、江西、湖南、廣西等多地通過偽基站向手機用户發送“10086積分兑換現金”活動的鏈接,非法盜取近200萬元。在浙江警方破獲的另外一起案件中,犯罪嫌疑人在不到一年多的時間裏,利用短信等方式向受害人發送木馬程序鏈接,儘管每位受害者的損失摺合人民幣只約1000元,但案件數量眾多,犯罪嫌疑人總計詐騙或竊取至少250萬元。
浙江省公安廳網警總隊總工程師蔡林介紹,利用釣魚網站、木馬APK(Android安裝包)程序侵害用户財產安全的案件不斷髮生。這類木馬APK程序往往是通過短信鏈接、手機APP嵌入等方式進入手機系統。奇虎360旗下第三方漏洞響應平台“補天”公佈的某手機釣魚網站的後台裏,有500多名受騙人的銀行賬號、手機號、姓名等個人信息,而且每天都以20至30條的速度更新。
還有一類木馬程序僅以騷擾用户為目的。北京某事業單位的劉先生告訴記者,他的手機總是收到一些奇奇怪怪的鏈接,要求他安裝各類APK應用程序,有時還推送包含不健康內容的視頻或圖片,“刪掉了又來”,嚴重影響手機的正常使用。在不得已更換新手機後的第一個月,劉先生又發現話費驟然增加,致電運營商客服才發現,他的手機號莫名開通了包括多款手機報在內的增值服務,加起來達100餘元。
專業人士表示,劉先生後來遇到的這種情況,很可能就是通常所説的“惡意吸費軟件”,這也是目前最為普遍的移動安全問題之一。數據顯示,在安卓智能手機終端快速增長的2013年,我國平均每天有27萬人的安卓手機被惡意程序所感染,其中資費消耗和惡意扣費類程序的感染量最高,分別佔到總量的52%和24%。“近年來,這類手機安全事件更是呈現高發態勢。”蔡林説。
有的APP實際就是木馬 用户操作幾乎一覽無餘
記者調查發現,利用手機和移動互聯網應用程序的漏洞,盜取用户信息乃至獲利的案件,其手法也在不斷翻新。
——利用熱點事件,集中發送釣魚網站鏈接。比如,在高考結束後的一段時期,多地考生及家長收到了包含“高考查分APP”的短信鏈接;在A股市場備受關注的情況下,“查看明日漲停股”等信息頻頻出現在一些用户手機上。近期還有不法分子將木馬程序植入“優衣庫”視頻在網絡上傳播。
奇虎360手機安全研究團隊負責人宋申雷告訴記者,很多這類APP實際就是一個木馬,只要用户點擊下載安裝,它就會在手機後台“安營紮寨”,“這就好比在手機裏安裝了一雙眼睛,你在手機上的操作幾乎一覽無餘,短信驗證通知、銀行卡密碼、支付寶密碼等都有可能被竊取。”
——利用用户獵奇心理,暗中盜取個人信息。有着5億用户的微信,被用户認為相對安全私密。然而隨着各種嵌入到微信平台中的應用程序越來越多,一些潛藏信息泄露風險的應用也逐漸增多。比如,“測一測你的前世”等小應用程序就通過微信平台廣泛傳播。
上海市微信用户鄭先生説,出於好奇點開鏈接,測出自己前世是“老鴇”,覺得蠻好玩,還在微信朋友圈裏面分享了。“儘管在登錄頁面時要求授權認證,當時也有些擔心,但覺得微信上的應用應該沒什麼問題。”
蔡林等專家認為,正是利用用户的獵奇心理和對平台的信任,一些包含木馬的釣魚網頁才會具有強大的傳播力,一些用户的信息正是通過所謂的授權認證而泄露。記者近日再點開類似鏈接發現,部分已經顯示為“惡意鏈接”,被騰訊技術團隊攔截。
——入侵具有信譽的“安全APP”,獲取用户信息。擁有數千萬甚至超過1億活躍用户的搜狗手機輸入法、UC瀏覽器等手機應用,也會因為程序漏洞遭到惡意代碼入侵。
據專家介紹,用户在不安全的網絡環境下點擊“更新應用程序”,或者看到好看的“輸入法皮膚”點擊下載時,惡意木馬就有可能趁機植入正常程序當中,不僅可以獲取用户保存的個人資料,還可以通過提取用户敲擊鍵盤的數據讀取交易密碼。“還有一些用户反映,手機某些應用會在不經用户允許、沒有任何提示的情況下自動進行後台更新,這也留下了較為嚴重的安全隱患。”宋申雷説。
移動網絡案件立案難 個人應提高辨別能力
上海二三四五網絡科技有限公司董事長龐東昇認為,在“互聯網+”的時代,個人在網絡世界的曝光度越來越高,也給了不法分子可乘之機,移動端的釣魚、木馬植入等問題頻發,正在加劇用户信息泄露等安全隱患。宋申雷認為,現在人們的日常生活越來越依賴於手機等移動設備,移動網絡安全隱患的影響並不比傳統的網站小,應當引起更多的重視。
據業內人士透露,儘管各類移動APP後台漏洞不斷暴露,用户信息泄露、財產被竊取的案例也頻頻發生,但是由於網絡空間沒有地域概念,移動APP存在監測盲區,很多案件立案難。
比如,在浙江警方破獲的案件中,犯罪嫌疑人的作案地點遍及多個省市,嫌疑人團伙分佈在吉林延邊、福建龍巖、浙江金華等多地,作案對象甚至包括我國台灣地區的手機用户。“對此,還應進一步發揮國家信息安全漏洞共享平台的作用,強化第三方漏洞監測和公眾監督機制,保證用户的個人信息和財產安全。”宋申雷説。
專家認為,對於近5.6億移動互聯網用户來説,首先還應提高辨別能力,避免被惡意鏈接欺詐。“比如,要養成從正規網站登錄的習慣,遇到要求輸入手機號甚至銀行卡等個人信息的手機網頁時,需要提高警惕,對於需要用户‘授權並登錄’的跳轉頁面,應多留一個心眼。”宋申雷説。
蔡林表示,因流量不足而到處尋覓“免費WIFI”的手機用户,也要避免接入無須驗證的公共WIFI。“黑客能夠製造假冒的公共WIFI,監視並記錄用户所有的操作信息,特別是盜取用户隱私信息及網銀賬户密碼。普通用户很難區分接入網絡的真假,但一旦連入‘黑網’,就有可能因信息泄露而蒙受巨大損失。”
業內人士提醒,手機丟失後,應第一時間凍結與移動支付相關聯的銀行卡賬號、支付寶賬號等。“此外,也不要將自己的身份證掃描件存在移動終端上,以免被不法分子利用。”蔡林説。作者 羅政 陽娜 魏董華(中國新聞網)