AD
与往年不同的是,今年的“双11”网购一族正在从PC向手机迁徙。根据监测数据显示:移动端流量方面,11月10日上午用户访问量迅速提升,到上午11点达到第一个高峰,从11日6点开始,各大电商移动APP用户访问量出现第二次高速增长,增速明显高于10日的水平,到早晨10点达到第四个高峰。360手机助手发布的分析报告也显示,今年“双11”前两周,各大购物类APP下载量出现激增态势,其中亚马逊和手机淘宝的增长最为明显。与此同时,黑客也将触角伸向移动支付领域。
手机安全漏洞普遍存在 购物及支付类木马很难防范
《中国移动支付安全报告》数据显示,国产手机漏洞数量通常介于10个到20个之间,少数国际知名品牌的某些手机型号中,检测出存在30个至40个安全漏洞。根据调查结果来看,因厂商定制产生的手机安全漏洞,约占被测试手机已知漏洞总数的70%,而在报告列举的后台消息、签名漏洞、短信欺诈、后台电话、清除数据、静默安装等六类漏洞中,签名漏洞对移动支付安全性的威胁最为严重,因为黑客可以利用这个漏洞,对正常的支付工具或网银客户端进行篡改,篡改之后,程序的数字签名不会发生改变,因此也很难被发现。
在购物及支付类木马方面,从绝对数量上看,专门针对手机网银、支付工具和网上购物设计的木马程序并不是很多,但此类木马往往会使用最新的攻击技术和方法,使得此类木马的发现和查杀难度大大增加。数据显示,2013年360互联网安全中心共截获支付及购物类恶意程序2962个。这些恶意程序可以盗取支付账号和密码,拦截并转发银行发来的短信,或者是直接洗劫支付账户中的资金余额。
这些恶意程序通常会以两种形式出现:一种是篡改特定官方客户端程序并植入恶意插件的篡改类木马;一种是纯粹假冒其他应用程序的假冒类木马。统计显示,在所有的支付及网购木马中,篡改类木马占比约为26%,假冒类木马占比约为74%。从恶意程序篡改或假冒的对象来看:淘宝及相关应用最多,占比约为25%;其次是安卓系统或安卓系统组件,占比约为14%;接下来是微信相关应用和网银客户端,占比分别为12%和9%。还有假冒图片和相册、假冒支付宝及相关应用、假冒金融证券软件、安全组件和京东等各种应用的木马程序也不在少数。
短信诈骗、手机丢失成移动支付安全严重威胁之一
垃圾短信中重要的一类就是诈骗短信,某些诈骗短信会诱骗用户登录钓鱼网站或下载木马程序,从而对网上购物和网上支付构成威胁。特别是2013年下半年开始流行至今的伪基站技术,使诈骗短信的危害成倍增加。由于伪基站使用的发信号码多为银行或电信运营商的官方号码,这些号码不仅对于用户来说很具有迷惑性,而且这些号码通常也会被手机安全软件列入白名单,因此,目前市面上的绝大多数手机安全软件和号码管理软件也不能识别和拦截伪基站短信。
据360互联网安全中心统计,2013年全年共收到用户举报垃圾短信总量约为4.46亿条,全年共为用户拦截各类手机垃圾短信971亿条,其中诈骗短信占据垃圾短信总量的5%,约为49亿条。传统银行柜台办理业务时,需要“人证合一”双重查验,而手机支付仅通过姓名、卡号、身份证、手机号就可以完成。一旦手机与钱包、身份证等资料一起丢失,用户的手机支付安全就将面临巨大安全隐患。
本报记者 姚华 摄影 本报记者 巩胜男
