本报北京讯 使用“恶意充电器”,60秒内你的Iphone就可被远程操控;浏览恶意网站,电脑上的一切私密信息都将被肆意窥探……互联网“入侵”了我们的生活,随之而来的信息安全危机正日益凸显。
昨日,由中国互联网协会、中国信息安全测评中心指导,360公司主办的2013中国互联网安全大会(ISC)在北京国家会议中心举行,大河报作为河南省唯一受邀媒体参会。来自全球的近百位信息安全专家聚首这次国内规模最大的信息安全专业会议,聚焦互联网时代引发的安全变革。
改装充电器一分钟内黑掉IPHONE
从电脑到手机,从大屏到小屏,互联网技术便利了生活,让沟通、支付、娱乐无处不在,却也让我们尝到了科技的“苦果”。
只要知道一个手机号码,向对方发送一条二进制编码的短信,就能侵入对方手机安装恶意程序,实现窃听或远程控制;利用伪基站,黑客就可以变身110、10086等“特殊号码”,用假冒的任意号码打电话或发诈骗短信,让受害者防不胜防……
智能手机的普及,让移动终端逐步成为黑客“下手”的新目标。昨日举行的2013中国互联网安全大会上,来自美国佐治亚理工的研究员宋程昱现场讲述,“拇指一族”最常借用的手机充电器,怎样成为黑客攻击个人信息的渠道。
将苹果手机与被“加工”后的充电器相连,不到一分钟,黑客就能毫无征兆地获取设备信息、进行配对,并安装针对该设备的描述文件,进而为手机安装隐藏“有毒”应用,偷窥手机屏幕,窃取应用密码甚至用手机网银进行支付。
宋程昱介绍,这款“恶意充电器”名为“黑寡妇”,连接到苹果设备(不需要越狱)即可完成攻击;在攻击过程中用户无法察觉;可以做很多普通应用无法完成的恶意操作的强大功能。
安卓定制存漏洞,可伪造银行短信
昨日,大河报记者从大会获悉,被三星[微博]、HTC等热门手机品牌商广泛运用的安卓手机软件,其定制系统有近九成存在安全隐患。
恶意程序通过安卓定制系统所带来的漏洞,可伪装成银行短信号码并发送内容给机主,也可伪装成包括亲友号码在内的任意字符发送诈骗短信。昨日互联网安全大会上,360移动研究院高级研究员周亚金现场演示了黑客利用定制手机引发的漏洞,导致恶意程序任意伪造来自银行短信的全过程。
演示过程中,在座嘉宾看到,这些银行短信并非真实银行所发,而是由恶意程序伪装而来,且银行短信内容及发送号码可被任意控制的,也就是说,除银行短信外,还可伪装成亲友号码等更多的钓鱼短信,使接受用户丧失安全警惕,因此该类漏洞所出现的恶意程序具有非常大的迷惑性。
在分析的手机中,64%到85%的漏洞都是由于厂商的定制所造成的。
移动领域的手机木马病毒危害,正由最初的扣费、耗流量向操纵手机发送诈骗短信、隐私窃取等方向转变,具备盗取网银密码能力的手机木马也日益增加。
记者了解到,今年上半年,仅360互联网安全中心截获的新增手机木马、恶意软件及恶意广告插件就达45万款,感染总量超过4.8亿人次。
360称,二季度网购人均受骗额为1133元
拇指轻点“授权支付”,短短24秒就被不法分子转走10万元现金。扫了恶意二维码,一觉醒来卡上万余元不翼而飞。网购为“淘一族”省了银子,却因安全问题频发让不少网购族吃了大亏。记者了解到,2013年上半年我国人均网购消费650元,而360公布的2013年二季度网购人均受骗金额为1133元,几乎是人均网购消费的两倍。
怎样辨别和防范网购诈骗?
昨日大会上,资深安全研究员万仁国表示,常见的网购欺诈有木马、钓鱼和人工欺诈三类。
网银劫持和支付劫持木马,会在网民执行付款操作时,秘密篡改收款人、商品名目、付款金额等网银订单信息。消费者在搜索引擎里查询商品信息或用聊天工具与商家进行在线沟通时,容易被藏身其中的钓鱼网站迷惑,点击“中招儿”。
此外,依靠沟通技巧对受害者进行心理攻势的人工欺诈骗局,在互联网时代愈加泛滥。对于不了解网购规则的消费者,诈骗方往往将可绑定两张银行卡的“授权支付”功能,说成交易出现异常时的“解锁器”,使不熟悉甚至从没听说过网银授权支付业务用户,轻易将自己的网银“授权”给了骗子。
万仁国认为,“网址云安全”等新型互联网安全技术虽然能在一定程度上与钓鱼网站进行技术对抗,但能否在反人工欺诈领域为网民提供大量服务支持,将成为安全厂商确保网民安全上网的重要发力点和突破点。