首页 >> >> 信息发布 >> 正文
短信遭劫持被盗4万 短信+密码验证方式靠不住
通信世界网 http://www.cww.net.cn 2014年7月25日 09:59
标签:360互联网安全中心
 

通信世界网消息(CWW) 近日,央视财经频道播出《关注移动互联网―支付陷阱》,节目中爆出多起移动支付安全事件引发网民高度关注,其中手机木马拦截短信盗刷存款的案件更是让人冷汗直冒。此外,360互联网安全中心发布《2014年第二期中国移动支付安全报告》(以下简称《报告》)中同样指出,当前主流的16款手机银行客户端所使用的双因素认证多数为“伪双因素认证”,存在一定的安全隐患。

图:央视报道木马病毒攻击移动支付系统

据央视报道,苏州的张女士在点击了一条短信中的链接后,手机在自己不知情的情况下自动向别人发送短信,张女士刚开始并没有感觉到任何异常,经儿子提醒后,她发现自己银行卡中的4万元存款竟然不翼而飞了。

360手机安全专家分析,张女士点击的链接其实是手机木马,不法分子利用它可以拦截到用户手机中的短信,掌握用户的身份信息后办理相关业务,再利用木马拦截到短信中的密令就可以轻而易举的转走网民银行卡中的余额。并且黑客还可以再次使用该木马拦截银行所发送的转账信息。就这样,张女士银行卡中的4万元存款在毫无察觉的情况下飞到了他人的口袋里。

或许有人会认为,我的短信中不涉及敏感信息就可以高枕无忧了,但事实并非如此。360发布的《报告》中指出,双因素认证的安全性取决于两个认证信息之间的独立性,但由于硬件条件的限制,“U盾+账号密码”的形势在手机银行客户端上很难实现。

因此目前移动支付中普遍使用的“账号密码+短信”的认证体系,但《报告》认为这其实是“伪双因素认证”。一旦手机遇到带有短信拦截功能的木马,就很可能出现动态验证码被拦截的情况。如此一来双因素认证体系就已经等于被攻破,一旦黑客掌握了网银账号密码,就可轻易盗刷卡内存款。

360手机安全专家认为,在更好的验证方式出现前,密码+短信的认证方式还将继续存在,因此用户更要注意提高警惕性。首先不要随意点击短信中的后缀为“apk”的链接,防止木马入侵手机。此外在下载使用手机银行客户端时,可开启360手机卫士的支付软件保护功能,防止账号密码被黑客窃取,避免造成更严重的损失。

另据了解,2014年4月,360移动开放平台推出“360加固保”产品,专为开发者们的应用提供免费、安全的加固服务。开发者们为防止产品被山寨或破解,可直接提交产品到360加固保页面,为自己的应用加上安全保护。

手机银行客户端安全性测评报告:http://zt.360.cn/report通信世界网

 

来源:通信世界网
相关文章
 
文章评论
 
    昵称:  验证码:
 
关注通信世界网
 
 
官方微信
“cww-weixin”(或扫描下图二维码),即可于获得独家的CWW视点分析、最新的通信资讯。
 
 
专家观点
邬贺铨:频率紧张限..
“中国移动说今年要建20万个基站,到时就超过其他国家4G基站总和。但是..
 
 
最新专题
  • 1

  • 1

  • 1

  • 1

通信百科
 
华为IDC/ISP信息安全管理..
IDC需要加强信息安全管理互联网接入服务管理是互联网管理的重要组成部分..
 
 
 
新浪微博 腾讯微博 微信 rss
人民邮电出版社
工业和信息化部
人民邮电出版社图书专营店
中国通信企业协会
中国通信学会
中国互联网协会
无线电频谱管理中心
工业和信息化部电信研究院
中国通信标准化协会
中国移动通信联合会
中国邮电器材公司
中国电信
中国移动
中国联通
中国信息协会信息服务网络委员会
爱购服务器之家
新浪科技
搜狐IT
腾讯科技
凤凰网科技
人民网无线频道
中国通信网
移动Labs
中华电子网
通信产业网
企业网
In-Stat
IT价值联盟
中国软件资讯网
通信人才网
慧聪通信网
CTI论坛
CIO选型网
CTO技术网
美通社
赛立信竞争情报网
CRS通信学社
ZDNet至顶网
和讯科技
博趣·兴趣门户
呼叫中心频道
运营与增值
信天下企业短信
新电子
OFweek光通讯网
中云网