黑客利用木马偷取用户信息七招

黑客利用木马偷取用户信息七招

黑客教程访客2021-10-12 1:40:005013A+A-

  随着互联网金融的发展,电子支付已经占据了移动支付的大半江山,但往往道高一尺魔高一丈,近期发生了多起手机银行遭盗窃信息骗取钱财的事件。专家认为,目前,不法分子制作假冒网银升级助手、盗版手机网银客户端、钓鱼支付宝等恶意软件,严重威胁移动支付安全。

  而根据360互联网安全中心日前发布的《2014年第二期中国移动支付安全报告》显示,国内手机银行客户端中,黑客有七种招数利用木马偷取用户敏感信息。

  招数一:

  假冒银行服务端攻击

  如果客户端在登录过程中不对服务端的身份进行校验,就有可能连接到假冒的银行服务端上,从而导致用户名、密码等信息被窃取。

  在本次测评的16款银行客户端中,共有3款银行客户端存在忽略服务端证书校验安全漏洞。

  招数二:

  后台记录键盘信息

  需键盘输入的都是关键、敏感的信息,如登录密码、支付密码、账户信息、资金信息等。如手机键盘的输入过程被木马病毒或黑客监听,将造成用户信息的泄漏。

  招数三:

  网银账户信息裸奔

  如果账户信息页面被设置成为可直接导出,那么不需经过登录过程,就可查看用户的网银账户信息,相当于账户信息在裸奔。没有任何一款银行客户端软件具有反Activity劫持的能力。

  招数四:

  仿登录界面钓账号密码

  恶意程序会启动仿冒银行的登录界面,用户在仿冒界面里输入资料致账号和密码被盗。16款手机银行客户端软件中,没有一款客户端能单独解决这类问题。

  招数五:

  利用安卓系统漏洞渗透

  由于安卓系统存在一些问题,用户手机中诸多的系统漏洞得不到及时修复。专家认为,木马可轻松突破“自绘键盘”的防护,直接获取用户的账号密码。

  招数六:

  二次打包制造盗版

  攻击者用逆向分析工具,将银行客户端程序进行反编译,并向反编译结果中加入恶意代码,发布到审核不严格的第三方市场中。

  招数七:

  短信劫持获取验证码

  本次测评的16款手机银行客户端软件均采用“账号密码+短信验证码”的伪双因素认证体系,在面对木马攻击时非常脆弱。虽已有银行推广双因素认证系统,但大多数用户仍在用上述认证方式。

 

点击这里复制本文地址 以上内容由黑资讯整理呈现,请务必在转载分享时注明本文地址!如对内容有疑问,请联系我们,谢谢!
  • 3条评论
  • 纵遇劣戏2022-05-29 20:08:55
  • 序进行反编译,并向反编译结果中加入恶意代码,发布到审核不严格的第三方市场中。  招数七:  短信劫持获取验证码  本次测评的16款手机银行客户端软件均采用“账号密码+短信验证码”的伪双因素认证体系,在面对木
  • 礼忱昭浅2022-05-30 02:38:43
  • 问题。  招数五:  利用安卓系统漏洞渗透  由于安卓系统存在一些问题,用户手机中诸多的系统漏洞得不到及时修复。专家认为,木马可轻松突破“自绘键盘”的防护,直接获取用户的
  • 馥妴森槿2022-05-29 20:44:46
  • 加入恶意代码,发布到审核不严格的第三方市场中。  招数七:  短信劫持获取验证码  本次测评的16款手机银行客户端软件均采用“账号密码+短信验证码”的伪双因素认证体系,在面对木马攻击时

支持Ctrl+Enter提交

黑资讯 © All Rights Reserved.  
Copyright Copyright 2015-2020 黑资讯
滇ICP备19002590号-1
Powered by 黑客资讯 Themes by 如有不合适之处联系我们
网站地图| 发展历程| 留言建议| 网站管理