最新數據顯示，我國手機網(wǎng)民已達5.27億。伴隨著(zhù)移動(dòng)支付的興起，越來(lái)越多的手機成為“第二錢(qián)包”。在大家享受便捷支付的同時(shí)，黑客們也“與時(shí)俱進(jìn)”，目光不再局限在電腦，而轉移至智能手機上。本周市經(jīng)信委計算機病毒預報就顯示，一個(gè)安卓木馬可以偽裝成一個(gè)合法的銀行應用程序，竊取銀行與用戶(hù)間身份驗證的詳細信息。
　　各大銀行的手機官方應用是否就毫無(wú)風(fēng)險呢？日前，360互聯(lián)網(wǎng)安全中心（下簡(jiǎn)稱(chēng)“該中心”）發(fā)布《2014年第二期中國移動(dòng)支付安全報告》，指出國產(chǎn)多個(gè)手機銀行客戶(hù)端有多處可被黑客利用的安全隱患，希望網(wǎng)友們在網(wǎng)銀支付時(shí)多加防范，并表示已將漏洞移交給銀行。

　　一條木馬短信致賬戶(hù)被盜5萬(wàn)元

　　幾天前，陳女士收到一條升級手機銀行客戶(hù)端的短信提醒，她毫無(wú)戒備地按照短信上的網(wǎng)址下載并更新了新的客戶(hù)端，隨后她在登錄界面上輸入賬號和密碼信息，卻一直無(wú)法登錄，總是提示“系統正在升級驗證中，請稍后”，反復多次嘗試登錄均告失敗。之后，陳女士就意外地收到一條短信通知，顯示她的銀行卡已被劃走5萬(wàn)元。
　　安全專(zhuān)家在接到陳女士的求助后檢測分析，原來(lái)她收到的短信上的網(wǎng)址是木馬下載地址，黑客通過(guò)山寨網(wǎng)銀獲取了陳女士的網(wǎng)銀賬號和密碼，并劫持了短信驗證碼。黑客憑借這三組數字便可登錄受害者賬戶(hù)并進(jìn)行資金操作，而銀行發(fā)送給陳女士的通知短信，也能被木馬攔截并轉發(fā)至黑客的號碼上，這樣一來(lái)，她的“第二錢(qián)包”差不多成了黑客的錢(qián)包了。
　　記者了解到，上海市經(jīng)濟和信息化委員會(huì )在本周發(fā)布的計算機病毒預報中，一個(gè)名為“Android.Selfmite”的木馬赫然在目。該木馬安裝后會(huì )偽裝成合法的銀行應用程序，然后竊取銀行和用戶(hù)間身份驗證的信息。

　　輸入法、短信均可被黑客劫持

　　該中心最新發(fā)布的《2014年第二期中國移動(dòng)支付安全報告》，針對當前市面上最流行的十余家銀行的手機銀行客戶(hù)端應用進(jìn)行了一次全面的安全性測評，發(fā)現其中有7項漏洞易被黑客利用，依次為：假冒銀行服務(wù)端，實(shí)施“中間人”攻擊；后臺記錄鍵盤(pán)位置，竊取密碼；惡意導出用戶(hù)界面，網(wǎng)銀賬戶(hù)信息“裸奔”；仿冒登錄界面，釣走賬號密碼；　利用安卓系統漏洞，滲透網(wǎng)銀客戶(hù)端；二次打包制造盜版，主流客戶(hù)端難防御；短信劫持獲取驗證碼。
　　報告指出，手機輸入法是黑客盯牢的目標，手機客戶(hù)端上的賬號密碼等信息都是通過(guò)鍵盤(pán)輸入，如手機鍵盤(pán)的輸入過(guò)程被木馬病毒或黑客監聽(tīng)，必將造成用戶(hù)信息的泄漏。一般來(lái)說(shuō)，主流手機銀行客戶(hù)端都在使用客戶(hù)端自帶輸入法，不過(guò)報告指出有2款客戶(hù)端使用系統默認輸入法，也就是說(shuō)，一旦默認的輸入法程序感染了惡意代碼，或是輸入法程序被具有記錄鍵盤(pán)數據能力的惡意程序監控，則會(huì )導致用戶(hù)輸入的賬戶(hù)或密碼信息被惡意程序盜取。
　　釣魚(yú)類(lèi)山寨手機銀行App也是一大隱患，上文中的陳女士便受此影響遭受損失。此類(lèi)App會(huì )在后臺監控前臺窗口的運行，如果前臺是一個(gè)銀行應用的登錄界面，惡意程序就立即啟動(dòng)自己的仿冒界面，這個(gè)動(dòng)作可以快到用戶(hù)無(wú)任何感知。用戶(hù)在無(wú)察覺(jué)的情況下可能會(huì )在仿冒界面中輸入用戶(hù)名密碼，進(jìn)而導致賬號和密碼被盜。報告顯示，測評的多個(gè)手機銀行客戶(hù)端無(wú)一能解決該難題。
　　記者還了解到，手機銀行客戶(hù)端遭遇“二次打包”成盜版，以及短信劫持獲取驗證碼的問(wèn)題也成為黑客牟利的重要方式。不少網(wǎng)友在網(wǎng)銀支付時(shí)都采用“賬號密碼+短信驗證”的方式，然而一旦被可短信劫持的木馬感染，這種雙重保險依舊存在安全隱患。

　　[鄭重提醒]

　　切忌安裝來(lái)路不明的程序

　　《報告》還表示，目前網(wǎng)銀及支付類(lèi)惡意軟件主要以“點(diǎn)對點(diǎn)傳播”為主，即通過(guò)聊天工具進(jìn)行直接發(fā)送惡意軟件的二維碼下載鏈接，或通過(guò)短信向用戶(hù)發(fā)送惡意軟件的下載鏈接。少數惡意軟件也會(huì )使用各種偽裝并上傳到論壇或第三方應用市場(chǎng)供網(wǎng)民下載使用，但從監測的數據來(lái)看，此類(lèi)傳播量不大。
　　該中心提醒網(wǎng)友不要在手機上安裝來(lái)歷不明、可能有危險的程序，同時(shí)還應設置敏感應用的訪(fǎng)問(wèn)密碼；如遇手機遺失，立馬遠程銷(xiāo)毀手機數據。此外，用戶(hù)也應盡量減少個(gè)人信息泄露，尤其是手機號、身份證號、電子郵箱等敏感信息。