红包大战让手机用户在春节过足了瘾。其实随着移动支付的不断普及,装在手机上的钱袋子也正在成为不法分子重点关注的下手目标。
春节前假冒支付类病毒样本较平时增长超两倍
刚刚过去的春节,微信红包收发总量达到了32.7亿次,支付宝红包的总参与人数(除去重复参与人数)也超过了1亿。随着巨头们的频频发力,目前一个用户手机中安装一两个移动支付应用也成为非常普遍的现象。
而针对移动支付的攻击也越发频繁。金山猎豹的检测结果显示:2014年猎豹移动安全实验室共捕获了280万个安卓病毒样本,其中与移动支付业务相关的手机病毒占60%以上。
中国人民大学研究发布的《2014年互联网行业年度安全报告》也显示,手机支付病毒正在成为黑客和不法分子对用户实施攻击的主要渠道,2014年年末的手机支付类病毒包数量较年初翻了近三番。
在春节前,随着抢红包大战的开打,支付类病毒也有明显增长的势头。“假冒支付类病毒样本比平时增长超过两倍,这期间总体病毒传播样本数和传播用户数都有较大幅度增长,增幅达到50%左右。”360安全专家对法治周末记者表示。
百度移动安全部首席产品架构师阮龙对法治周末记者表示,针对移动端的攻击方法中,山寨支付应用、虚假WIFI网络、虚假支付网站等检出率持续增高,这些攻击方式可能骗取用户账号信息、直接导致用户资产损失。
“在2015年的春节一周内,用户新安装的应用扫描中,类似恶意应用的检出率较平日增加了35.49%。”阮龙对法治周末记者说。
钓鱼网页+手机木马组合让人防不胜防
猎豹移动安全专家李铁军对记者表示,原先在PC端攻击网银门槛较高,如网购木马只有在受害者在电脑上进行交易时才能劫持成功,而针对手机端的攻击,在得到用户个人信息后,只要能够拦截银行验证码、提示短信,就可以实施盗刷,成功率非常高。
360安全专家还表示,针对移动支付的钓鱼,通常会采用新的传播手段,不但让受害人感觉不到自己的隐私信息被骗走,还会让受害人主动将这个钓鱼链接分享出去,扩大传播范围。“尤其是钓鱼网页+手机木马的组合,更是让人防不胜防。”
近期,百度安全实验室就监控到一款伪装成中国移动手机营业厅的“伪新年礼包”手机病毒,该病毒通过伪装抽奖的方式诱骗用户输入银行卡、个人身份证信息、手机号码等隐私信息,并后台屏蔽和窃取用户接收到的银行短信验证码。
北京知道创宇安全专家周景平对记者表示,其实无论采取什么样的形式进行伪装,这种诈骗都包含有几个常规步骤:诱导用户点击陌生链接,然后跳转至钓鱼网站,输入个人信息及银行卡账号及密码,再通过木马拦截用户手机来自银行的验证码及消费提示进行盗刷。
“其实这种病毒技术含量很低,学点编程就能写得出来。”李铁军坦言,“用户需要提高防范意识,如果不一步步‘配合’,不随意点击短信里的陌生链接,不在钓鱼网站输入个人信息,则不会对用户的财产安全造成损害。”