短信遭劫持被盗4万短信密码验证方式靠不住

近日，央视财经频道播出《关注移动互联网支付陷阱》，节目中爆出多起移动支付安全事件引发网民高度关注,其中手机木马拦截短信盗刷存款的案件更是让人冷汗直冒。此外，360互联网安全中心发布《2014年第二期中国移动支付安全报告》(以下简称《报告》)中同样指出，当前主流的16款手机银行客户端所使用的双因素认证多数为“伪双因素认证”，存在一定的安全隐患。

图：央视报道木马病毒攻击移动支付系统

据央视报道，苏州的张女士在点击了一条短信中的链接后，手机在自己不知情的情况下自动向别人发送短信，张女士刚开始并没有感觉到任何异常，经儿子提醒后，她发现自己银行卡中的4万元存款竟然不翼而飞了。

360手机安全专家分析，张女士点击的链接其实是手机木马，不法分子利用它可以拦截到用户手机中的短信，掌握用户的身份信息后办理相关业务，再利用木马拦截到短信中的密令就可以轻而易举的转走网民银行卡中的余额。并且黑客还可以再次使用该木马拦截银行所发送的转账信息。就这样，张女士银行卡中的4万元存款在毫无察觉的情况下飞到了他人的口袋里。

或许有人会认为，我的短信中不涉及敏感信息就可以高枕无忧了，但事实并非如此。360发布的《报告》中指出，双因素认证的安全性取决于两个认证信息之间的独立性，但由于硬件条件的限制，“U盾+账号密码”的形势在手机银行客户端上很难实现。

因此目前移动支付中普遍使用的“账号密码+短信”的认证体系，但《报告》认为这其实是“伪双因素认证”。一旦手机遇到带有短信拦截功能的木马，就很可能出现动态验证码被拦截的情况。如此一来双因素认证体系就已经等于被攻破，一旦黑客掌握了网银账号密码，就可轻易盗刷卡内存款。

360手机安全专家认为，在更好的验证方式出现前，密码+短信的认证方式还将继续存在，因此用户更要注意提高警惕性。首先不要随意点击短信中的后缀为“apk”的链接，防止木马入侵手机。此外在下载使用手机银行客户端时，可开启360手机卫士的支付软件保护功能，防止账号密码被黑客窃取，避免造成更严重的损失。

另据了解，2014年4月，360移动开放平台推出“360加固保”产品，专为开发者们的应用提供免费、安全的加固服务。开发者们为防止产品被山寨或破解，可直接提交产品到360加固保页面，为自己的应用加上安全保护。

手机银行客户端安全性测评报告：

（责任编辑：HN666）

谷歌浏览器最新版

Google Chrome

Google Chrome