網銀被盜 免費WIFI熱點很危險?
網友“愛之心切”:
有網民6萬存款莫名被盜僅剩500,警方懷疑與該網民在公共場所蹭網有關。現在免費WiFi這么多,都有這么大危險嗎?
很多人質疑免費WiFi不安全。金山網絡安全專家李鐵軍在查閱詳細新聞內容后認為,網銀被盜可能是手機中毒導致,網銀被盜與蹭網之間是否存在直接的因果關系,尚需更多證據。
李鐵軍指出,蹭網有一定安全風險,但蹭網直接導致網銀資金被盜可能性很低。如原文明確提到“銀行工作人員發現,小明的手機還被騙子做了手腳,收短信的功能被屏蔽,因此這兩天里所有交易記錄,他壓根都沒有收到短信提示。”
這樣的例子并不鮮見。早在2013年7月,國內有安全廠商就截獲攔截手機短信來間接盜竊網銀資金的手機病毒。這類病毒的功能簡單,病毒制作容易,后來被金山毒霸命名為“驗證碼大盜”,因為這一類病毒專門盜竊中毒手機上與支付有關的驗證碼信息。
簡單描述一下驗證碼大盜的作案流程
第一步:驗證碼大盜作者開發出手機病毒(只感染安卓手機),由病毒傳播者(網絡小偷或網絡騙子)將病毒上傳到網盤,生成一個下載路徑,或將下載路徑轉換成二維碼。
第二步:小偷或騙子在網絡上尋找目的網民(可能是淘寶網的買家,也可能是店主),通過詢價或下單購物建立聯系。通過聊天工具給對方發送含有病毒程序下載的鏈接或二維碼,欺騙對方掃碼后安裝到手機上。
第三步:由于安卓手機有非常高的市場占有率,騙子多半會成功,之后驗證碼大盜病毒就會攔截特定內容的短信或者攔截所有短信。其結果是,中毒手機可能看不到短信。
李鐵軍指出,并不是短信收不到,而是短信被病毒截獲后,迅速通過郵件或短信轉發給小偷,驗證碼大盜再以迅雷不及掩耳之勢將短信刪除。用戶感知到的現象是,手機收不到短信。
第四步:小偷在自己的電腦上重置中毒用戶的支付帳號密碼,重置成功,就可隨意消費。第三方支付帳號關聯的銀行儲蓄卡余額可被輕易轉出或消費,也可以消費與該帳號關聯的信用卡,不僅如此,如果受害者是網店店主,小偷還可以申請貸款,再將所有貸款全部轉出。
身份證號怎么到騙子手里
有網友會問,重置密碼時,需要驗證身份證號,身份證號是怎么到騙子手里的?
對此,李鐵軍指出,對于普通人來說,知道一個人的手機號,和支付帳號,去找身份證號可能很困難。但對有心行騙的人來說,并非不可能,知道某人的手機號,去網上一搜,沒準就知道此人是誰,再花點時間,就可能搜出身份證號來。
況且,在騙子手里,多半收集各種渠道泄露出來的海量公民個人信息(如2000萬條網民開房記錄就是非常全面的個人信息庫,而騙子、小偷手中掌握的數據庫可能遠不止這些),他只需要在數據庫中搜索一下,多半就得逞。
國內安全廠商抓到的驗證碼大盜樣本中,一些會在程序運行界面,彈出讓網民自己填寫姓名、身份證號操作界面(我們在木馬收集信息的郵箱中就發現了大量網民自己提交的身份證號和姓名)。就算沒有這些,騙子也有的是招,如打個電話,編個謊言,就能把身份證號騙到手。
一旦身份證號和短信都到了騙子手里,那么,用戶存在銀行卡里的錢,已不再屬于自己。
蹭網導致網銀資金被盜可能性極小
如果用戶不幸接入不懷好意的攻擊者設置的WiFi熱點,攻擊者可以將用戶的設備上網的全部數據包截獲,再通過解碼工具研讀分析。
一些沒有加密的明文信息可以直接讀取,但與網銀有關的信息,卻不容易,因為用戶電腦或手機與銀行通信的數據全程使用了高強度加密,短時間內破解基本無望。
聰明的攻擊者往往使用WiFi熱點構造釣魚網站比如構造一個假網店,欺騙用戶在假網店提交登錄帳號、密碼,以及網銀相關的敏感信息。
所以,李鐵軍建議用戶不要在公共網絡接入點或公用的電腦上購物或登錄網銀,這會讓用戶資金被盜的風險增加。而只在這種環境進行一般的網絡瀏覽,風險相對較小。
如果在蹭網環境使用手機APP去購物,可能會有風險。使用瀏覽器登錄操作網銀安全性相對有保障,但在手機平臺存在大量購物網站的APP,這些APP是否做到全程數據加密,這需要打個問號。因為沒有加密的數據傳輸,在蹭網的情況下,都可能被監聽。
李鐵軍再次建議,不要在公共WiFi接入的情況下購物,進行一般的資訊瀏覽和搜索操作問題都不大。敏感操作,還是用自己的手機數據上網吧,2G/3G/4G都可以。
如何防止6萬只剩500
小明的情況是由兩個因素共同作用造成,即個人身份信息泄露和手機中毒,兩種情況都發生。防止網銀資金被盜李鐵軍認為同樣需要從這兩方面著手:
第一,需要時刻保護個人信息不被泄露。
保護個人信息不泄露的確非常困難。需要經常提醒自己不要隨意拿真實身份注冊網絡服務,需要給自己經常使用的重要網絡服務設定相對復雜的密碼,確保與其他密碼不一樣,還得定期更換密碼。——僅僅是密碼保護就是挺難的一個技巧。
第二,就是防止手機中毒。
不要輕易相信來歷不明的程序,不要輕易掃二維碼,掃完還啟動瀏覽器去下載一個APK的安卓文件,更不要自己傻傻地一次次點下一步,將這個莫名其妙的程序安裝在自己的手機上。如果不幸安裝別人發來的并不可靠的程序在自己的安卓手機上,八成會和小明一個結果。
用戶需要有安卓手機殺毒軟件。當檢測到短信中含有“驗證碼、銀行、支付"等敏感信息時,會自動將短信加密保護,安全軟件會阻止第三方程序讀取。此時,就算遇到一個驗證碼大盜的最新變種,支付系統發到你手機上的機密短信,仍然無法到達騙子或小偷手中。(建平)
