移動支付雙因子驗證登錄手機銀行存風險

來源：比特網

近年來，手機支付大潮興起，享受便捷移動支付服務的同時，手機儼然變身成我們的“移動錢包”。與此同時，手機銀行也帶來了很大的安全隱患。據360近期發佈的《2014年第二期中國移動支付安全報告》顯示，在對16款銀行客戶端的登錄機制安全性進行測評的過程中，賬號密碼+短信驗證登錄的方式依舊存在安全隱患。

《報告》指出，登錄，是用戶使用手機銀行客戶端的第一步，在這個過程中，用戶一般會輸入自己的賬號、登錄密碼或身份證信息等重要的隱私信息。但是目前各家銀行的手機銀行安全程序要求和進展不一，多家銀行僅靠賬戶、密碼以及手機驗證碼進行操作，手機一旦被盜竊，用戶的登錄過程被攻擊者監聽或劫持、短信被複制或攔截，那麼手機銀行的賬戶資金安全就會受到威脅，甚至導致用戶賬戶信息被盜或銀行存款被盜刷。

不久前，360手機安全中心接到陳女士的投訴，稱前幾日收到升級手機銀行客戶端的短信提醒，當時陳女士就登陸到短信上顯示的網址下載並安裝新的客戶端，隨後陳女士在登陸界面輸入了賬號信息，點擊界面中的“提交”按鈕後，卻被提示“系統正在升級驗證中，請稍後”。在經過幾次嘗試登陸失敗之後，陳女士意外的收到了銀行卡已被支取50000元的短信通知。經過360安全專家檢測，陳女士的手機中了木馬。

原來陳女士收到短信中的網址鏈接所下載的軟件遭到木馬篡改，黑客通過木馬已經完全的獲取了陳女士的網銀帳號、網銀密碼和短信驗證碼。黑客使用這三組數字，就能在另外一部手機上登錄用戶賬戶並進行消費。銀行發送到陳女士原來的手機號碼的各種短信，已經被木馬攔截並轉發到了黑客控制的號碼上。黑客可以輕鬆的使用盜來的陳女士賬戶進行各種網上支付，從而盜刷陳女士的銀行資金。

手機銀行客戶端作爲網上支付的重要工具，其自身的安全性是網民賬戶、資金安全的基礎。360手機安全專家建議，辦理手機銀行業務時，需要安裝360手機衛士等安全軟件，不在手機上安裝來歷不明、可能有危險的程序。同時，設置敏感應用的訪問密碼，一旦手機丟失，立即遠程銷燬手機數據。另外，用戶要減少個人信息泄露，特別是手機號、身份證號、電子郵箱等敏感信息，拒絕過多的辦理會員卡、抽獎等誘惑。