只因為點擊了顯示為“10086”發(fā)來的“積分兌換現(xiàn)金”的鏈接,浙江省湖州市民錢先生的銀行卡里近8000元就被盜取了。近日,浙江警方破獲的多起案例顯示,通過短信等多種方式植入手機的木馬程序和釣魚鏈接,正威脅著用戶的個人隱私和財產(chǎn)安全。 記者調(diào)查發(fā)現(xiàn),隨著移動互聯(lián)網(wǎng)的發(fā)展,手機網(wǎng)絡(luò)安全事件正呈高發(fā)狀態(tài),除了冒充“10086”等偽基站短信發(fā)的鏈接,類似“測一測你的前世”等一些有趣的應(yīng)用鏈接,也可能藏有盜取用戶個人信息的木馬程序。 利用釣魚鏈接獲利數(shù)百萬元 浙江市民錢先生的手機不久前收到一條顯示為“10086”的號碼發(fā)來的信息:“你的手機積分可以換取270元錢,可以上網(wǎng)提現(xiàn)”,并附有網(wǎng)址鏈接?!包c進(jìn)去之后覺得頁面很正規(guī),就按提示輸入了姓名、電話、農(nóng)業(yè)銀行卡號和密碼,但提交之后就再無音信了?!卞X先生隨后去農(nóng)業(yè)銀行查詢,發(fā)現(xiàn)卡里的7948元已全部被提走。 據(jù)浙江警方介紹,錢先生的遭遇并非個案。在浙江警方查明的這起系列案件中,犯罪嫌疑人冒充中國移動客服10086,在浙江、重慶、江西、湖南、廣西等多地通過偽基站向手機用戶發(fā)送“10086積分兌換現(xiàn)金”活動的鏈接,非法盜取近200萬元。在浙江警方破獲的另外一起案件中,犯罪嫌疑人在不到一年多的時間里,利用短信等方式向受害人發(fā)送木馬程序鏈接,盡管每位受害者的損失折合人民幣只約1000元,但案件數(shù)量眾多,犯罪嫌疑人總計詐騙或竊取至少250萬元。 浙江省公安廳網(wǎng)警總隊總工程師蔡林介紹,利用釣魚網(wǎng)站、木馬APK程序侵害用戶財產(chǎn)安全的案件不斷發(fā)生。這類木馬APK程序往往是通過短信鏈接、手機APP嵌入等方式進(jìn)入手機系統(tǒng)。奇虎360旗下第三方漏洞響應(yīng)平臺“補天”公布的某手機釣魚網(wǎng)站的后臺里,有500多名受騙人的銀行賬號、手機號、姓名等個人信息,而且每天都以20至30條的速度更新。 還有一類木馬程序僅以騷擾用戶為目的。北京某事業(yè)單位的劉先生告訴記者,他的手機總是收到一些奇奇怪怪的鏈接,要求他安裝各類APK應(yīng)用程序,有時還推送包含不健康內(nèi)容的視頻或圖片,“刪掉了又來”,嚴(yán)重影響手機的正常使用。在不得已更換新手機后的第一個月,劉先生又發(fā)現(xiàn)話費驟然增加,致電運營商客服才發(fā)現(xiàn),他的手機號莫名開通了包括多款手機報在內(nèi)的增值服務(wù),加起來達(dá)100余元。 專業(yè)人士表示,劉先生后來遇到的這種情況,很可能就是通常所說的“惡意吸費軟件”,這也是目前最為普遍的移動安全問題之一。數(shù)據(jù)顯示,在安卓智能手機終端快速增長的2013年,我國平均每天有27萬人的安卓手機被惡意程序所感染,其中資費消耗和惡意扣費類程序的感染量最高,分別占到總量的52%和24%。“近年來,這類手機安全事件更是呈現(xiàn)高發(fā)態(tài)勢?!辈塘终f。 "查分APP"、"測測前世"等竟是釣魚鏈接 記者調(diào)查發(fā)現(xiàn),利用手機和移動互聯(lián)網(wǎng)應(yīng)用程序的漏洞,盜取用戶信息乃至獲利的案件,其手法也在不斷翻新。 利用熱點事件,集中發(fā)送釣魚網(wǎng)站鏈接。比如,在高考結(jié)束后的一段時期,多地考生及家長收到了包含"高考查分APP"的短信鏈接;在A股市場備受關(guān)注的情況下,"查看明日漲停股"等信息頻頻出現(xiàn)在一些用戶手機上。近期還有不法分子將木馬程序植入"優(yōu)衣庫"視頻在網(wǎng)絡(luò)上傳播。 奇虎360手機安全研究團隊負(fù)責(zé)人宋申雷告訴記者,很多這類APP實際就是一個木馬,只要用戶點擊下載安裝,它就會在手機后臺"安營扎寨","這就好比在手機里安裝了一雙眼睛,你在手機上的操作幾乎一覽無余,短信驗證通知、銀行卡密碼、支付寶密碼等都有可能被竊取。" 利用用戶獵奇心理,暗中盜取個人信息。有著5億用戶的微信,被用戶認(rèn)為相對安全私密。然而隨著各種嵌入到微信平臺中的應(yīng)用程序越來越多,一些潛藏信息泄露風(fēng)險的應(yīng)用也逐漸增多。比如,"測測你的前世是什么人"等小應(yīng)用程序就通過微信平臺廣泛傳播。 上海市微信用戶鄭先生說,出于好奇點開鏈接,測出自己前世是"老鴇",覺得蠻好玩,還在微信朋友圈里面分享了。"盡管在登錄頁面時要求授權(quán)認(rèn)證,當(dāng)時也有些擔(dān)心,但覺得微信上的應(yīng)用應(yīng)該沒什么問題。" 蔡林等專家認(rèn)為,正是利用用戶的獵奇心理和對平臺的信任,一些包含木馬的釣魚網(wǎng)頁才會具有強大的傳播力,一些用戶的信息正是通過所謂的授權(quán)認(rèn)證而泄露。記者近日再點開類似鏈接發(fā)現(xiàn),部分已經(jīng)顯示為"惡意鏈接",被騰訊技術(shù)團隊攔截。 入侵具有信譽的"安全APP",獲取用戶信息。擁有數(shù)千萬甚至超過1億活躍用戶的搜狗手機輸入法、UC瀏覽器等手機應(yīng)用,也會因為程序漏洞遭到惡意代碼入侵。 據(jù)專家介紹,用戶在不安全的網(wǎng)絡(luò)環(huán)境下點擊"更新應(yīng)用程序",或者看到好看的"輸入法皮膚"點擊下載時,惡意木馬就有可能趁機植入正常程序當(dāng)中,不僅可以獲取用戶保存的個人資料,還可以通過提取用戶敲擊鍵盤的數(shù)據(jù)讀取交易密碼。"還有一些用戶反映,手機某些應(yīng)用會在不經(jīng)用戶允許、沒有任何提示的情況下自動進(jìn)行后臺更新,這也留下了較為嚴(yán)重的安全隱患。"宋申雷說。 移動APP存監(jiān)測盲區(qū)網(wǎng)絡(luò)案件立案難 上海二三四五網(wǎng)絡(luò)科技有限公司董事長龐東升認(rèn)為,在"互聯(lián)網(wǎng)+"的時代,個人在網(wǎng)絡(luò)世界的曝光度越來越高,也給了不法分子可乘之機,移動端的釣魚、木馬植入等問題頻發(fā),正在加劇用戶信息泄露等安全隱患。宋申雷認(rèn)為,現(xiàn)在人們的日常生活越來越依賴于手機等移動設(shè)備,移動網(wǎng)絡(luò)安全隱患的影響并不比傳統(tǒng)的網(wǎng)站小,應(yīng)當(dāng)引起更多的重視。 據(jù)業(yè)內(nèi)人士透露,盡管各類移動APP后臺漏洞不斷暴露,用戶信息泄露、財產(chǎn)被竊取的案例也頻頻發(fā)生,但是由于網(wǎng)絡(luò)空間沒有地域概念,移動APP存在監(jiān)測盲區(qū),很多案件立案難。 比如,在浙江警方破獲的案件中,犯罪嫌疑人的作案地點遍及多個省市,嫌疑人團伙分布在吉林延邊、福建龍巖、浙江金華等多地,作案對象甚至包括我國臺灣地區(qū)的手機用戶。"對此,還應(yīng)進(jìn)一步發(fā)揮國家信息安全漏洞共享平臺的作用,強化第三方漏洞監(jiān)測和公眾監(jiān)督機制,保證用戶的個人信息和財產(chǎn)安全。"宋申雷說。 專家認(rèn)為,對于近5.6億移動互聯(lián)網(wǎng)用戶來說,首先還應(yīng)提高辨別能力,避免被惡意鏈接欺詐。"比如,要養(yǎng)成從正規(guī)網(wǎng)站登錄的習(xí)慣,遇到要求輸入手機號甚至銀行卡等個人信息的手機網(wǎng)頁時,需要提高警惕,對于需要用戶'授權(quán)并登錄'的跳轉(zhuǎn)頁面,應(yīng)多留一個心眼。"宋申雷說。 蔡林表示,因流量不足而到處尋覓"免費WIFI"的手機用戶,也要避免接入無需驗證的公共WIFI。"黑客能夠制造假冒的公共WIFI,監(jiān)視并記錄用戶所有的操作信息,特別是盜取用戶隱私信息及網(wǎng)銀賬戶密碼。普通用戶很難區(qū)分接入網(wǎng)絡(luò)的真假,但一旦連入'黑網(wǎng)',就有可能因信息泄露而蒙受巨大損失。" 業(yè)內(nèi)人士提醒,手機丟失后,應(yīng)第一時間凍結(jié)與移動支付相關(guān)聯(lián)的銀行卡賬號、支付寶賬號等,"此外,也不要將自己的身份證掃描件存在移動終端上,以免被不法分子利用。"蔡林說。 新華社
|