先来看一则案例:“我收到了一条短信,说是下载安装App可以把手机号码的积分兑换现金,下载安装后,它又提示我输入账号密码,结果就发现银行卡中的9000元被盗刷。”这是王小姐最近的遭遇。之前小编也给大家介绍了山寨App“暗算”用户屡禁不止的案例。
智能手机用户收到带有陌生网址链接信息后下载安装App,导致银行卡被盗刷的事情很常见。爱加密(www.ijiami.cn)安全专家分析称,诈骗分子主要是利用中奖、恐吓短信诱骗用户点击短信中的网址链接,链接点开后会下载一个带有手机支付病毒的山寨App。当用户根据山寨App提示输入账号、密码、身份证等信息时,病毒将会偷偷记录并发送至指定手机号码,再通过网络支付工具发起快捷支付,接着窃取用户手机支付短信验证码完成银行卡盗刷。
就上述问题,安全专家建议可以从文件大小、应用权限、是否要求输入账号密码、进程管理等四个方面识别带毒的山寨App。
一看应用权限。真手机App要求权限较多,因为具有更多功能。山寨App则只有几项权限,比如发送读取短信、上网、开机启动等,特别是发送和读取短信,可盗取用户输入的个人信息和收到的手机支付验证信息。
二看文件大小。真手机App,支付、网购、游戏类应用大小一般1~20M。山寨App则一般不足1M,可以让用户快速下载安装。
三看进程管理。有些山寨App安装之后,为了躲避卸载,会隐藏前台桌面上的图标并在后台运行。通过系统进程查看,可以找到这些前台没有却在后台运行的应用。
四看是否直接要求输入账号密码。山寨App目的就是窃取用户账号密码,所以打开后就立即出现输入信息的界面,比如山寨建行App、山寨淘宝App都是如此,而真App则一般不会直接要求输入这些信息的。
爱加密安全专家指出,化解手机安全风险光靠用户还是远远不够的,用户只能从末端防范,不能从根本上消除安全风险。这就需要广大App开发者主动承担维护手机安全的责任,从源头上堵住App漏洞,给apk加固,不给黑客留下可乘之机。
上一篇: 揭秘移动支付木马偷钱“七宗罪”
下一篇: 爱加密:移动支付安全面临“步步危机”