眾所周知手機已經(jīng)深入中國百姓日常生活的方方面面,隨著手機上網(wǎng)日益普及,網(wǎng)上支付及理財更成為最熱門的手機應(yīng)用之一,互聯(lián)網(wǎng)安全領(lǐng)先廠商Check Point公司的專家指出,消費者在享受網(wǎng)上支付及網(wǎng)上銀行的便利的同時,也要提防其安全風(fēng)險。
Check Point SandBlast Mobile 移動安全研究員賀飛翔表示,當(dāng)下的銀行木馬攻擊具有高回報、低技術(shù)門檻的特點。在過去的三個季度里,Check Point的威脅情報發(fā)現(xiàn),全球范圍內(nèi)手機銀行木馬正在逐步染指移動支付。
他指出,銀行木馬現(xiàn)在不再僅限于攻擊傳統(tǒng)的銀行手機客戶端。這類木馬開始攻擊任何具有支付功能的手機軟件。例如網(wǎng)絡(luò)購物、打車、酒店機票預(yù)訂等軟件。由于中國市場每天都在產(chǎn)生海量移動支付交易,即使攻擊成功率較低,攻擊者依然可以獲得可觀收入。因此該領(lǐng)域?qū)W(wǎng)絡(luò)罪犯越發(fā)具有吸引力。
他表示:"值得注意的是,近年來黑色產(chǎn)業(yè)鏈呈現(xiàn)出職能細分的趨勢。銀行木馬使用及傳播者往往可以方便的從專業(yè)惡意軟件開發(fā)人員手中買入病毒。無需掌握復(fù)雜的技術(shù)知識,僅需簡單的加工,使用者就可以開始傳播、實施侵害。一方面,我們看到移動支付廠商(諸如支付寶、微信支付)在不斷加強支付端口自身的安全;另一方面,我們認為使用移動支付端口的第三方軟件以及用戶本身是反銀行木馬努力中不可忽視的兩個較薄弱環(huán)節(jié)。"
賀飛翔也指出,移動端的隱私問題也需要關(guān)注,廣告商及軟件開發(fā)商往往超范圍提取用戶關(guān)鍵個人信息。個人信息采集幾乎存在于所有日常手機應(yīng)用中, 而目前大多數(shù)亞洲國家沒有對廣告商收集個人信息的行為在法律層面提出詳細可操作的規(guī)定和指引。在某些情況下,廣告商移動組件同時收集手機辨識碼IMEI、SIM卡序列號、手機號、手機當(dāng)前位置等敏感信息并不加處理直接上傳至服務(wù)器。這些數(shù)據(jù)加以適當(dāng)社工手段分分鐘可以把用戶手機變?yōu)殚g諜追蹤設(shè)備。
他表示:"這種粗獷的收集手段給了黑客更多可以非法獲取敏感數(shù)據(jù)的渠道。例如利用廣告組件自身漏洞來截取信息、利用服務(wù)器漏洞進入后臺數(shù)據(jù)庫、或者和廣告商達成某種協(xié)議直接獲取數(shù)據(jù)。中國方面,政府近期開始實施網(wǎng)絡(luò)論壇發(fā)帖回帖實名制。不可否認,這一舉措保證了網(wǎng)絡(luò)空間和諧的氛圍,有效遏制了不文明行為。但是這一規(guī)定使得以往一些較低價值目標(比如知乎、微博等移動端)對于黑客來說變得更有攻擊價值。因為實名認證的需求,此類手機應(yīng)用及后臺服務(wù)器需要傳輸甚至存儲個人證件信息。"
根據(jù)中國互聯(lián)網(wǎng)信息中心發(fā)表的最新一期《中國互聯(lián)網(wǎng)絡(luò)發(fā)展?fàn)顩r統(tǒng)計報告》,截至2017年6月,中國手機網(wǎng)民規(guī)模達7.24億,其中網(wǎng)上支付的比例提升至68%,而手機支付用戶規(guī)模增長迅速,達到5.02億(69.4%)。
Check Point以色列捷邦安全軟件科技有限公司
Check Point以色列捷邦安全軟件科技有限公司(www.checkpoint.com.cn)是全球最大的專注于安全的解決方案提供商,為各界客戶提供業(yè)界領(lǐng)先的解決方案抵御惡意軟件和各種威脅。Check Point提供全方位的安全解決方案包括從企業(yè)網(wǎng)絡(luò)到移動設(shè)備的安全保護,以及最全面和可視化的安全管理方案。Check Point現(xiàn)為十多萬不同規(guī)模的組織提供安全保護。
