最新數(shù)據(jù)顯示，我國手機網(wǎng)民已達5.27億。伴隨著移動支付的興起，越來越多的手機成為“第二錢包”。在大家享受便捷支付的同時，黑客們也“與時俱進”，目光不再局限在電腦，而轉(zhuǎn)移至智能手機上。本周市經(jīng)信委計算機病毒預(yù)報就顯示，一個安卓木馬可以偽裝成一個合法的銀行應(yīng)用程序，竊取銀行與用戶間身份驗證的詳細信息。
　　各大銀行的手機官方應(yīng)用是否就毫無風(fēng)險呢？日前，360互聯(lián)網(wǎng)安全中心（下簡稱“該中心”）發(fā)布《2014年第二期中國移動支付安全報告》，指出國產(chǎn)多個手機銀行客戶端有多處可被黑客利用的安全隱患，希望網(wǎng)友們在網(wǎng)銀支付時多加防范，并表示已將漏洞移交給銀行。

　　一條木馬短信致賬戶被盜5萬元

　　幾天前，陳女士收到一條升級手機銀行客戶端的短信提醒，她毫無戒備地按照短信上的網(wǎng)址下載并更新了新的客戶端，隨后她在登錄界面上輸入賬號和密碼信息，卻一直無法登錄，總是提示“系統(tǒng)正在升級驗證中，請稍后”，反復(fù)多次嘗試登錄均告失敗。之后，陳女士就意外地收到一條短信通知，顯示她的銀行卡已被劃走5萬元。
　　安全專家在接到陳女士的求助后檢測分析，原來她收到的短信上的網(wǎng)址是木馬下載地址，黑客通過山寨網(wǎng)銀獲取了陳女士的網(wǎng)銀賬號和密碼，并劫持了短信驗證碼。黑客憑借這三組數(shù)字便可登錄受害者賬戶并進行資金操作，而銀行發(fā)送給陳女士的通知短信，也能被木馬攔截并轉(zhuǎn)發(fā)至黑客的號碼上，這樣一來，她的“第二錢包”差不多成了黑客的錢包了。
　　記者了解到，上海市經(jīng)濟和信息化委員會在本周發(fā)布的計算機病毒預(yù)報中，一個名為“Android.Selfmite”的木馬赫然在目。該木馬安裝后會偽裝成合法的銀行應(yīng)用程序，然后竊取銀行和用戶間身份驗證的信息。

　　輸入法、短信均可被黑客劫持

　　該中心最新發(fā)布的《2014年第二期中國移動支付安全報告》，針對當(dāng)前市面上最流行的十余家銀行的手機銀行客戶端應(yīng)用進行了一次全面的安全性測評，發(fā)現(xiàn)其中有7項漏洞易被黑客利用，依次為：假冒銀行服務(wù)端，實施“中間人”攻擊；后臺記錄鍵盤位置，竊取密碼；惡意導(dǎo)出用戶界面，網(wǎng)銀賬戶信息“裸奔”；仿冒登錄界面，釣走賬號密碼；　利用安卓系統(tǒng)漏洞，滲透網(wǎng)銀客戶端；二次打包制造盜版，主流客戶端難防御；短信劫持獲取驗證碼。
　　報告指出，手機輸入法是黑客盯牢的目標，手機客戶端上的賬號密碼等信息都是通過鍵盤輸入，如手機鍵盤的輸入過程被木馬病毒或黑客監(jiān)聽，必將造成用戶信息的泄漏。一般來說，主流手機銀行客戶端都在使用客戶端自帶輸入法，不過報告指出有2款客戶端使用系統(tǒng)默認輸入法，也就是說，一旦默認的輸入法程序感染了惡意代碼，或是輸入法程序被具有記錄鍵盤數(shù)據(jù)能力的惡意程序監(jiān)控，則會導(dǎo)致用戶輸入的賬戶或密碼信息被惡意程序盜取。
　　釣魚類山寨手機銀行App也是一大隱患，上文中的陳女士便受此影響遭受損失。此類App會在后臺監(jiān)控前臺窗口的運行，如果前臺是一個銀行應(yīng)用的登錄界面，惡意程序就立即啟動自己的仿冒界面，這個動作可以快到用戶無任何感知。用戶在無察覺的情況下可能會在仿冒界面中輸入用戶名密碼，進而導(dǎo)致賬號和密碼被盜。報告顯示，測評的多個手機銀行客戶端無一能解決該難題。
　　記者還了解到，手機銀行客戶端遭遇“二次打包”成盜版，以及短信劫持獲取驗證碼的問題也成為黑客牟利的重要方式。不少網(wǎng)友在網(wǎng)銀支付時都采用“賬號密碼+短信驗證”的方式，然而一旦被可短信劫持的木馬感染，這種雙重保險依舊存在安全隱患。

　　[鄭重提醒]

　　切忌安裝來路不明的程序

　　《報告》還表示，目前網(wǎng)銀及支付類惡意軟件主要以“點對點傳播”為主，即通過聊天工具進行直接發(fā)送惡意軟件的二維碼下載鏈接，或通過短信向用戶發(fā)送惡意軟件的下載鏈接。少數(shù)惡意軟件也會使用各種偽裝并上傳到論壇或第三方應(yīng)用市場供網(wǎng)民下載使用，但從監(jiān)測的數(shù)據(jù)來看，此類傳播量不大。
　　該中心提醒網(wǎng)友不要在手機上安裝來歷不明、可能有危險的程序，同時還應(yīng)設(shè)置敏感應(yīng)用的訪問密碼；如遇手機遺失，立馬遠程銷毀手機數(shù)據(jù)。此外，用戶也應(yīng)盡量減少個人信息泄露，尤其是手機號、身份證號、電子郵箱等敏感信息。