手机银行“升级”后 银行卡内4.8万元蒸发

　　随着互联网金融的发展，电子支付已经占据了移动支付的大半江山，但往往道高一尺魔高一丈，近期发生了多起手机银行遭盗窃信息骗取钱财的事件。专家认为，目前，不法分子制作假冒网银升级助手、盗版手机网银客户端、钓鱼支付宝等恶意软件，严重威胁移动支付安全。

　　而根据360互联网安全中心日前发布的《2014年第二期中国移动支付安全报告》显示，国内手机银行客户端中，黑客有七种方法利用木马偷取用户敏感信息。

　　案例

　　轻信“手机银行升级”

　　前几日，市民秦先生(化名)接到一条以“955”开头的××银行客服的短信：“尊敬的××银行用户，您的手机银行将于今日过期，请立即登录我行网站以激活更新。”秦先生点击了链接，打开网页发现界面与××银行官网极为相似，就根据短信提示在激活网页上填写了银行账号。

　　此时，对方发来信息说要修改密码并且要输入手机验证码，秦先生又将手机收到的验证码填写到网页内。“升级”步骤完成了，但很快秦先生便收到48888元被转走的短信。

　　银行卡遭异地复制

　　近日北京媒体报道称，一男子称绑定银行账户手机卡遭他人异地复制，账户现金被划走。根据报道，9月26日，在北京工作的袁先生手机突然没有信号，几小时后，工资卡内10万元结婚款被人转走。据了解，有人在异地补办了其手机卡，并用手机银行转账的方式将钱转走。

　　招数一：假冒银行服务端攻击

　　如果客户端在登录过程中不对服务端的身份进行校验，就有可能连接到假冒的银行服务端上，从而导致用户名、密码等信息被窃取。在本次测评的16款银行客户端中，共有3款银行客户端存在忽略服务端证书校验安全漏洞。

　　招数二：

　　后台记录键盘信息

　　需键盘输入的都是关键、敏感的信息，如登录密码、支付密码、账户信息、资金信息等。如手机键盘的输入过程被木马病毒或黑客监听，将造成用户信息的泄漏。

　　招数三：

　　网银账户信息裸奔

　　如果账户信息页面被设置成为可直接导出，那么不需经过登录过程，就可查看用户的网银账户信息，相当于账户信息在裸奔。没有任何一款银行客户端软件具有反Activity劫持的能力。

声明：长城网登载此文出于传递更多信息之目的，并不意味着赞同其观点或证实其描述。文章内容仅供参考。新闻纠错、新闻爆料联系方式：15511386191 QQ：648308142 。

关键词：手机银行,软件升级,银行卡,被盗