移动支付双因子验证登录手机银行存风险
来源:比特网
近年来,手机支付大潮兴起,享受便捷移动支付服务的同时,手机俨然变身成我们的“移动钱包”。与此同时,手机银行也带来了很大的安全隐患。据360近期发布的《2014年第二期中国移动支付安全报告》显示,在对16款银行客户端的登录机制安全性进行测评的过程中,账号密码+短信验证登录的方式依旧存在安全隐患。
《报告》指出,登录,是用户使用手机银行客户端的第一步,在这个过程中,用户一般会输入自己的账号、登录密码或身份证信息等重要的隐私信息。但是目前各家银行的手机银行安全程序要求和进展不一,多家银行仅靠账户、密码以及手机验证码进行操作,手机一旦被盗窃,用户的登录过程被攻击者监听或劫持、短信被复制或拦截,那么手机银行的账户资金安全就会受到威胁,甚至导致用户账户信息被盗或银行存款被盗刷。
不久前,360手机安全中心接到陈女士的投诉,称前几日收到升级手机银行客户端的短信提醒,当时陈女士就登陆到短信上显示的网址下载并安装新的客户端,随后陈女士在登陆界面输入了账号信息,点击界面中的“提交”按钮后,却被提示“系统正在升级验证中,请稍后”。在经过几次尝试登陆失败之后,陈女士意外的收到了银行卡已被支取50000元的短信通知。经过360安全专家检测,陈女士的手机中了木马。
原来陈女士收到短信中的网址链接所下载的软件遭到木马篡改,黑客通过木马已经完全的获取了陈女士的网银帐号、网银密码和短信验证码。黑客使用这三组数字,就能在另外一部手机上登录用户账户并进行消费。银行发送到陈女士原来的手机号码的各种短信,已经被木马拦截并转发到了黑客控制的号码上。黑客可以轻松的使用盗来的陈女士账户进行各种网上支付,从而盗刷陈女士的银行资金。
手机银行客户端作为网上支付的重要工具,其自身的安全性是网民账户、资金安全的基础。360手机安全专家建议,办理手机银行业务时,需要安装360手机卫士等安全软件,不在手机上安装来历不明、可能有危险的程序。同时,设置敏感应用的访问密码,一旦手机丢失,立即远程销毁手机数据。另外,用户要减少个人信息泄露,特别是手机号、身份证号、电子邮箱等敏感信息,拒绝过多的办理会员卡、抽奖等诱惑。