5月19日,360互联网安全中心发布《2015中国移动支付安全绿皮书》。报告称,中国移动支付安全问题数量增长迅速,其形势不容乐观。中国互联网络信息中心(CNNIC)发布的数据显示,截至2014年12月,我国手机支付用户规模达到2.17亿,年增长率为73.2%。其中,手机网购、手机支付、手机银行等手机商务应用的用户年增长分别为63.5%,73.2%和69...
5月19日,360互联网安全中心发布《2015中国移动支付安全绿皮书》。报告称,中国移动支付安全问题数量增长迅速,其形势不容乐观。
中国互联网络信息中心(CNNIC)发布的数据显示,截至2014年12月,我国手机支付用户规模达到2.17亿,年增长率为73.2%。其中,手机网购、手机支付、手机银行等手机商务应用的用户年增长分别为63.5%,73.2%和69.2%,远超其他手机应用增长幅度。
360发布的《绿皮书》认为,从支付安全的角度看,恶意程序,钓鱼网站、诈骗短信和诈骗电话是威胁移动支付安全最主要的四个因素。
农行掌上银行被恶意篡改最多
2015年第一季度,360互联网安全中心共截获安卓移动平台新增恶意程序样本409万个,比2014年全年截获的新增恶意程序样本量还多83万个。
平均每天截获新增手机恶意程序样本近4.5万个,累计监测到移动端用户感染恶意程序1.2亿人次,平均每天恶意程序感染量达到了133.3万人次。
根据中国反网络病毒联盟的分类标准,这些新增恶意程序主要分为资费消耗、隐私窃取、恶意扣费,占比分别为92.0%、4.9%、3.1%。
值得注意的是,2015年第一季度,360互联网安全中心共截获假冒或篡改各类移动支付及购物程序的恶意程序1147个。
“尽管此类木马的数量并不算大,但由于极具迷惑性,普通用户很难识别,用户手机一旦感染这些木马,就将会面临短信劫持、资金劫持、账号被窃及网银盗刷等一系列的巨大风险”,360互联网安全中心专家裴智勇介绍。
样本中,篡改类恶意程序共有795个。其中,农行掌上银行最多,占比约为28.4%;其次是美团团购,占比约为21.4%;接下来是手机淘宝和1号店,占比分别为16.9%和13.3%。
而假冒类恶意程序共有352个。大智慧、支付宝钱包和同花顺分别排在被假冒榜单的前三名。
“诈骗助手”FakeTaobao木马
360互联网安全中心的监测显示,自2014年9月份以后,FakeTaobao木马家族的样本数量开始激增,短短半年时间里,样本总量就已经从3万多个激增到接近13万个,每月新增样本量超过一万个以上,成为目前最为广泛流行的一个移动支付类木马家族。
FakeTaobao木马早期将自身伪装成手机淘宝客户端,这也是其得名的主要原因。但2014年9月以后,随着该木马家族样本数量的激增,木马所假冒对象也开始逐渐转变为运营商软件、合同订单表格、系统软件、照片图片以及手机银行等。
360互联网安全中心专家裴智勇介绍,早在2013年5月,360互联网安全中心就监控到了第一个FakeTaobao家族的木马。该木马家族样本的主要特点是:通过钓鱼、诱骗、欺诈的方式窃取手机用户的用户姓名、身份证号码、银行卡账户、支付密码、短信内容及各种登录账号和密码等用户重要的个人隐私信息,再通过短信转发,联网上传和发送邮件等多种方式,将窃取到的用户信息泄露给不法分子,以帮助不法分子利用此信息实施各种高危的网络诈骗。
新近截获的某些该家族木马,甚至还会通过对用户的通信录和通话记录的分析,专门挑选那些可能是领导或长辈的电话号码进行窃取,从而增加电信诈骗的价值和成功率。
监测显示,FakeTaobao木马的传播方式与多数手机木马不同,主要渠道并不是第三方手机应用市场,而是点对点传播,包括在聊天过程中诱骗受害者扫描二维码,点击网盘链接,以及使用伪基站等方式发送附带木马下载链接诈骗短信等。
《绿皮书》还披露,以FakeTaobao木马为核心,黑市上已经形成了包括木马开发、木马销售、木马传播、信息窃取、信息贩卖、电信诈骗等犯罪活动在内的一整套黑色产业链。
FakeTaobao木马的作者主要分布在广西、广东和北京三地,广东、广西、上海、北京、浙江是该木马使用者最多的地区。
《绿皮书》称,通过短信、微信、二维码等途径传播的钓鱼网站数量正在处于快速增长之中。2015年第一季度,360的手机安全软件共拦截钓鱼攻击3.3亿次,占PC和移动端总拦截量的5.5%。预计到2015年底,钓鱼网站对手机用户的攻击量可能会超过总量的10%。
垃圾短信同比少了一半
但严峻的形势下也有利好出现。
2015年第一季度,360手机卫士共拦截各类垃圾短信约96.9亿条,平均每天拦截垃圾短信1.07亿条。但较2014年第一季度的209亿条同比下降了53.6%,较2014年第四季度的124亿条环比下降了21.9%。
在所有垃圾短信中,诈骗短信占12.1%。而在诈骗短信中,冒充熟人的最多,占28.5%,其次是虚假中奖占25.6%,冒充银行占19.9%。
2015年第一季度,用户通过360手机卫士标记各类骚扰电话号码(包括360手机卫士自动检出的响一声电话)约9783万个,平均每天被用户标记的各类骚扰电话号码约109万个。
2015年1—3月,360互联网安全中心共接到网络诈骗报案4920例,报案总金额高达1772.3万元,人均损失3602元。其中,360手机用户报案1147例,报案总金额为831.8万元,人均损失7252元。
“也就是说,尽管目前手机用户的报案数量还不到PC用户的三分之一,但手机诈骗时的人均损失却是电脑诈骗人均损失的2倍”,360公司总裁齐向东说。
从手机用户的报案类型上看,虚假中奖数量最多,占22.2%,其次是钓鱼盗号占18.5%,虚假兼职占12.8%。
虚假中奖的诈骗手段是要求用户先交“税金”,“很多用户能在此时发现问题,但诈骗分子往往会进一步恐吓用户,从而令他们就范”,裴智勇说。
手机欺诈的人均损失方面,虚假中奖、钓鱼票务排在前两位,人均损失分别为14148、11651元。
(编辑 谭翊飞)
21世纪经济报道及其客户端所刊载内容的知识产权均属广东二十一世纪环球经济报社所有。未经书面授权,任何人不得以任何方式使用。详情或获取授权信息请点击此处。
分享成功