清华大学金融科技研究院孵化
金融科技与金融创新全媒体

扫描分享

本文共字,预计阅读时间

手机银行安全吗?自从09年一些银行推出服务App时,人们就这样问。美国有大概一亿零二百万人使用手机银行,因此潜在黑客攻击,网络钓鱼,及其他的网络诈骗可能会对手机银行安全造成巨大威胁。

但是,到上周为止,还没有任何重大安全事件直接威胁手机银行用户。

不过在上周三,卡巴斯基发现了一种名为Svpeng的恶意软件,该软件以移动设备为攻击目标,魔爪已从俄罗斯伸向美国。Svpeng会自动查找手机上安装的银行App,然后锁定电话,并要求用户支付费用进行解锁。

因此,一场关于手机银行安全性的讨论由此展开。

"这的确令人不安。"Gartner公司的副总裁Avivah Litan说,"银行不可能对客户的智能手机进行清理,也无法控制这种类型的木马。我们只能控制客户与银行App之间的互动。即使增强手机银行App安全并加强对移动用户身份的验证,也不能阻止此类木马。"

"Svpeng于去年九月在俄罗斯首次出现,被用来窃取移动设备上的银行卡数据。"Aite集团高级分析师Shirley Inscoe解释道。该木马的一些变体包括在检测到用户开启移动银行App时,显示虚假登录屏幕,以捕获登录身份凭证等。类似的技术被用来在用户打开GooglePlay时收集信用卡详细信息。

美国和英国最近发现的恶意软件又呈现出新的诈骗模式。

在美国,Svpeng通过社交工程短信进入到移动设备中。卡巴斯基在拉丁美洲的全球研究和分析小组组长Dmitry Bestuzhev解释说:"一旦设备受到感染,想摆脱病毒几乎是不可能的。"

一旦恶意软件进入设备,就会开始在手机中寻找一些特定金融机构的App,比如USAA、花旗、美国运通、富国银行、美国银行、TD银行、JP摩根大通、BB&t和地区金融银行。

然后,它锁定移动设备屏幕,提供虚假FBI罚款通知信,并要求用户以绿点积钱卡(GreenDotMoneyPak)的方式支付200美元的罚款。它还将显示一张照片用手机前置摄像头拍摄的用户照片。(恶意软件会为用户提供能买到积钱卡的商户信息,并提供对话框让用户填写凭证号码)。

目前,Svpeng暂时没有盗取手机或网上银行机密信息。卡巴斯基研究人员认为这只是时间问题。恶意软件木马中还包含可用于文件加密的代码,因此,木马可能会对手机中的文件进行加密,要求用户支付费用进行解密。

Inscoe说,"在这段时间,Svpeng可能会收集移动银行App身份凭证,以方便盗取用户的帐户资金。

卡巴斯基高级恶意软件分析师Roman Unuchek说:"受到Svpeng攻击的用户几乎对此无能为力,"

"如果在感染恶意软件之前,手机被Root过的话,就可能可以解除恶意软件对设备的锁定而不删除数据。"如果手机没有被Root过,用户可以讲设备设置成安全模式,并在SIM卡和SD卡不受影响的情况下擦除手机中的所有信息。

当然,银行可以监控所有由恶意软件引起的帐户的交易迹象。"如果木马成功地盗取客户证书或接管客户接口,银行需要监测账户状态,并禁止犯罪分子访问或袭击客户账户"Litan说。

他们还需要提醒客户对相关安全隐患有所防备。

"在美国,如果移动设备没有安全保护,想抵御恶意软件Svpeng的进攻是几乎不可能的,"Unuchek说,"如果我是一个银行首席信息官(CIO),我会确保客户的移动设备具备安全保护。"

"美国银行和电信运营商都没有采取任何行动来教育美国消费者了解恶意软件移动设备。"Aite集团分析师Inscoe说。"到目前为止我们庆幸于银行在移动领域损失很小,但Svpeng会改变这一现状。"

Litan对此表示同意。

"这个迹象表明移动恶意软件正在不断增加,并将在之后的几年变得更为普遍"她说。"我相信,就像在电脑软件方面经历的一样,我们也将会在移动设备中看到这些软件的不同变体。"

[Source]

本文系未央网专栏作者发表,属作者个人观点,不代表网站观点,未经许可严禁转载,违者必究!

本文为作者授权未央网发表,属作者个人观点,不代表网站观点,未经许可严禁转载,违者必究!

本文版权归原作者所有,如有侵权,请联系删除。

评论


猜你喜欢

扫描二维码或搜索微信号“iweiyangx”
关注未央网官方微信公众号,获取互联网金融领域前沿资讯。