新華社北京７月２３日電題：冒充１００８６非法盜取近２００萬元－－手機網絡安全漏洞調查

　　新華社“新華視點”記者羅政、陽娜、魏董華

　　只因為點擊了顯示為“１００８６”發(fā)來的“積分兌換現(xiàn)金”的鏈接，浙江省湖州市民錢先生的銀行卡里近８０００元就被盜取了。近日，浙江警方破獲的多起案例顯示，通過短信等多種方式植入手機的木馬程序和釣魚鏈接，正威脅著用戶的個人隱私和財產安全。

　　“新華視點”記者調查發(fā)現(xiàn)，隨著移動互聯(lián)網的發(fā)展，手機網絡安全事件正呈高發(fā)狀態(tài)，除了冒充“１００８６”等偽基站短信發(fā)的鏈接，類似“測一測你的前世”等一些有趣的應用鏈接，也可能藏有盜取用戶個人信息的木馬程序。

　　利用釣魚鏈接獲利數(shù)百萬元

　　浙江市民錢先生的手機不久前收到一條顯示為“１００８６”的號碼發(fā)來的信息：“你的手機積分可以換取２７０元錢，可以上網提現(xiàn)”，并附有網址鏈接。“點進去之后覺得頁面很正規(guī)，就按提示輸入了姓名、電話、農業(yè)銀行卡號和密碼，但提交之后就再無音信了。”錢先生隨后去農業(yè)銀行查詢，發(fā)現(xiàn)卡里的７９４８元已全部被提走。

　　據(jù)浙江警方介紹，錢先生的遭遇并非個案。在浙江警方查明的這起系列案件中，犯罪嫌疑人冒充中國移動客服１００８６，在浙江、重慶、江西、湖南、廣西等多地通過偽基站向手機用戶發(fā)送“１００８６積分兌換現(xiàn)金”活動的鏈接，非法盜取近２００萬元。在浙江警方破獲的另外一起案件中，犯罪嫌疑人在不到一年多的時間里，利用短信等方式向受害人發(fā)送木馬程序鏈接，盡管每位受害者的損失折合人民幣只約１０００元，但案件數(shù)量眾多，犯罪嫌疑人總計詐騙或竊取至少２５０萬元。

　　浙江省公安廳網警總隊總工程師蔡林介紹，利用釣魚網站、木馬ＡＰＫ程序侵害用戶財產安全的案件不斷發(fā)生。這類木馬ＡＰＫ程序往往是通過短信鏈接、手機ＡＰＰ嵌入等方式進入手機系統(tǒng)。奇虎３６０旗下第三方漏洞響應平臺“補天”公布的某手機釣魚網站的后臺里，有５００多名受騙人的銀行賬號、手機號、姓名等個人信息，而且每天都以２０至３０條的速度更新。

　　還有一類木馬程序僅以騷擾用戶為目的。北京某事業(yè)單位的劉先生告訴記者，他的手機總是收到一些奇奇怪怪的鏈接，要求他安裝各類ＡＰＫ應用程序，有時還推送包含不健康內容的視頻或圖片，“刪掉了又來”，嚴重影響手機的正常使用。在不得已更換新手機后的第一個月，劉先生又發(fā)現(xiàn)話費驟然增加，致電運營商客服才發(fā)現(xiàn)，他的手機號莫名開通了包括多款手機報在內的增值服務，加起來達１００余元。

　　專業(yè)人士表示，劉先生后來遇到的這種情況，很可能就是通常所說的“惡意吸費軟件”，這也是目前最為普遍的移動安全問題之一。數(shù)據(jù)顯示，在安卓智能手機終端快速增長的２０１３年，我國平均每天有２７萬人的安卓手機被惡意程序所感染，其中資費消耗和惡意扣費類程序的感染量最高，分別占到總量的５２％和２４％。“近年來，這類手機安全事件更是呈現(xiàn)高發(fā)態(tài)勢。”蔡林說。

　　查分ＡＰＰ、“測測前世”等竟是釣魚鏈接

　　記者調查發(fā)現(xiàn)，利用手機和移動互聯(lián)網應用程序的漏洞，盜取用戶信息乃至獲利的案件，其手法也在不斷翻新。

　　－－利用熱點事件，集中發(fā)送釣魚網站鏈接。比如，在高考結束后的一段時期，多地考生及家長收到了包含“高考查分ＡＰＰ”的短信鏈接；在Ａ股市場備受關注的情況下，“查看明日漲停股”等信息頻頻出現(xiàn)在一些用戶手機上。近期還有不法分子將木馬程序植入“優(yōu)衣庫”視頻在網絡上傳播。

　　奇虎３６０手機安全研究團隊負責人宋申雷告訴記者，很多這類ＡＰＰ實際就是一個木馬，只要用戶點擊下載安裝，它就會在手機后臺“安營扎寨”，“這就好比在手機里安裝了一雙眼睛，你在手機上的操作幾乎一覽無余，短信驗證通知、銀行卡密碼、支付寶密碼等都有可能被竊取。”

　　－－利用用戶獵奇心理，暗中盜取個人信息。有著５億用戶的微信，被用戶認為相對安全私密。然而隨著各種嵌入到微信平臺中的應用程序越來越多，一些潛藏信息泄露風險的應用也逐漸增多。比如，“測測你的前世是什么人”等小應用程序就通過微信平臺廣泛傳播。

　　上海市微信用戶鄭先生說，出于好奇點開鏈接，測出自己前世是“老鴇”，覺得蠻好玩，還在微信朋友圈里面分享了。“盡管在登錄頁面時要求授權認證，當時也有些擔心，但覺得微信上的應用應該沒什么問題。”

　　蔡林等專家認為，正是利用用戶的獵奇心理和對平臺的信任，一些包含木馬的釣魚網頁才會具有強大的傳播力，一些用戶的信息正是通過所謂的授權認證而泄露。記者近日再點開類似鏈接發(fā)現(xiàn)，部分已經顯示為“惡意鏈接”，被騰訊技術團隊攔截。

　　－－入侵具有信譽的“安全ＡＰＰ”，獲取用戶信息。擁有數(shù)千萬甚至超過１億活躍用戶的搜狗手機輸入法、ＵＣ瀏覽器等手機應用，也會因為程序漏洞遭到惡意代碼入侵。

　　據(jù)專家介紹，用戶在不安全的網絡環(huán)境下點擊“更新應用程序”，或者看到好看的“輸入法皮膚”點擊下載時，惡意木馬就有可能趁機植入正常程序當中，不僅可以獲取用戶保存的個人資料，還可以通過提取用戶敲擊鍵盤的數(shù)據(jù)讀取交易密碼。“還有一些用戶反映，手機某些應用會在不經用戶允許、沒有任何提示的情況下自動進行后臺更新，這也留下了較為嚴重的安全隱患。”宋申雷說。

　　移動ＡＰＰ存監(jiān)測盲區(qū)，網絡案件立案難

　　上海二三四五網絡科技有限公司董事長龐東升認為，在“互聯(lián)網＋”的時代，個人在網絡世界的曝光度越來越高，也給了不法分子可乘之機，移動端的釣魚、木馬植入等問題頻發(fā)，正在加劇用戶信息泄露等安全隱患。宋申雷認為，現(xiàn)在人們的日常生活越來越依賴于手機等移動設備，移動網絡安全隱患的影響并不比傳統(tǒng)的網站小，應當引起更多的重視。

　　據(jù)業(yè)內人士透露，盡管各類移動ＡＰＰ后臺漏洞不斷暴露，用戶信息泄露、財產被竊取的案例也頻頻發(fā)生，但是由于網絡空間沒有地域概念，移動ＡＰＰ存在監(jiān)測盲區(qū)，很多案件立案難。

　　比如，在浙江警方破獲的案件中，犯罪嫌疑人的作案地點遍及多個省市，嫌疑人團伙分布在吉林延邊、福建龍巖、浙江金華等多地，作案對象甚至包括我國臺灣地區(qū)的手機用戶。“對此，還應進一步發(fā)揮國家信息安全漏洞共享平臺的作用，強化第三方漏洞監(jiān)測和公眾監(jiān)督機制，保證用戶的個人信息和財產安全。”宋申雷說。

　　專家認為，對于近５．６億移動互聯(lián)網用戶來說，首先還應提高辨別能力，避免被惡意鏈接欺詐。“比如，要養(yǎng)成從正規(guī)網站登錄的習慣，遇到要求輸入手機號甚至銀行卡等個人信息的手機網頁時，需要提高警惕，對于需要用戶‘授權并登錄’的跳轉頁面，應多留一個心眼。”宋申雷說。

　　蔡林表示，因流量不足而到處尋覓“免費ＷＩＦＩ”的手機用戶，也要避免接入無需驗證的公共ＷＩＦＩ。“黑客能夠制造假冒的公共ＷＩＦＩ，監(jiān)視并記錄用戶所有的操作信息，特別是盜取用戶隱私信息及網銀賬戶密碼。普通用戶很難區(qū)分接入網絡的真假，但一旦連入‘黑網’，就有可能因信息泄露而蒙受巨大損失。”

　　業(yè)內人士提醒，手機丟失后，應第一時間凍結與移動支付相關聯(lián)的銀行卡賬號、支付寶賬號等，“此外，也不要將自己的身份證掃描件存在移動終端上，以免被不法分子利用。”蔡林說。