最新數據顯示，我國手機網民已達5.27億。伴隨著移動支付的興起，越來越多的手機成為“第二錢包”。在大家享受便捷支付的同時，黑客們也“與時俱進”，目光不再局限在電腦，而轉移至智能手機上。本周市經信委計算機病毒預報就顯示，一個安卓木馬可以偽裝成一個合法的銀行應用程序，竊取銀行與用戶間身份驗證的詳細信息。
　　各大銀行的手機官方應用是否就毫無風險呢？日前，360互聯網安全中心（下簡稱“該中心”）發布《2014年第二期中國移動支付安全報告》，指出國產多個手機銀行客戶端有多處可被黑客利用的安全隱患，希望網友們在網銀支付時多加防范，并表示已將漏洞移交給銀行。

　　一條木馬短信致賬戶被盜5萬元

　　幾天前，陳女士收到一條升級手機銀行客戶端的短信提醒，她毫無戒備地按照短信上的網址下載并更新了新的客戶端，隨后她在登錄界面上輸入賬號和密碼信息，卻一直無法登錄，總是提示“系統正在升級驗證中，請稍后”，反復多次嘗試登錄均告失敗。之后，陳女士就意外地收到一條短信通知，顯示她的銀行卡已被劃走5萬元。
　　安全專家在接到陳女士的求助后檢測分析，原來她收到的短信上的網址是木馬下載地址，黑客通過山寨網銀獲取了陳女士的網銀賬號和密碼，并劫持了短信驗證碼。黑客憑借這三組數字便可登錄受害者賬戶并進行資金操作，而銀行發送給陳女士的通知短信，也能被木馬攔截并轉發至黑客的號碼上，這樣一來，她的“第二錢包”差不多成了黑客的錢包了。
　　記者了解到，上海市經濟和信息化委員會在本周發布的計算機病毒預報中，一個名為“Android.Selfmite”的木馬赫然在目。該木馬安裝后會偽裝成合法的銀行應用程序，然后竊取銀行和用戶間身份驗證的信息。

　　輸入法、短信均可被黑客劫持

　　該中心最新發布的《2014年第二期中國移動支付安全報告》，針對當前市面上最流行的十余家銀行的手機銀行客戶端應用進行了一次全面的安全性測評，發現其中有7項漏洞易被黑客利用，依次為：假冒銀行服務端，實施“中間人”攻擊；后臺記錄鍵盤位置，竊取密碼；惡意導出用戶界面，網銀賬戶信息“裸奔”；仿冒登錄界面，釣走賬號密碼；　利用安卓系統漏洞，滲透網銀客戶端；二次打包制造盜版，主流客戶端難防御；短信劫持獲取驗證碼。
　　報告指出，手機輸入法是黑客盯牢的目標，手機客戶端上的賬號密碼等信息都是通過鍵盤輸入，如手機鍵盤的輸入過程被木馬病毒或黑客監聽，必將造成用戶信息的泄漏。一般來說，主流手機銀行客戶端都在使用客戶端自帶輸入法，不過報告指出有2款客戶端使用系統默認輸入法，也就是說，一旦默認的輸入法程序感染了惡意代碼，或是輸入法程序被具有記錄鍵盤數據能力的惡意程序監控，則會導致用戶輸入的賬戶或密碼信息被惡意程序盜取。
　　釣魚類山寨手機銀行App也是一大隱患，上文中的陳女士便受此影響遭受損失。此類App會在后臺監控前臺窗口的運行，如果前臺是一個銀行應用的登錄界面，惡意程序就立即啟動自己的仿冒界面，這個動作可以快到用戶無任何感知。用戶在無察覺的情況下可能會在仿冒界面中輸入用戶名密碼，進而導致賬號和密碼被盜。報告顯示，測評的多個手機銀行客戶端無一能解決該難題。
　　記者還了解到，手機銀行客戶端遭遇“二次打包”成盜版，以及短信劫持獲取驗證碼的問題也成為黑客牟利的重要方式。不少網友在網銀支付時都采用“賬號密碼+短信驗證”的方式，然而一旦被可短信劫持的木馬感染，這種雙重保險依舊存在安全隱患。

　　[鄭重提醒]

　　切忌安裝來路不明的程序

　　《報告》還表示，目前網銀及支付類惡意軟件主要以“點對點傳播”為主，即通過聊天工具進行直接發送惡意軟件的二維碼下載鏈接，或通過短信向用戶發送惡意軟件的下載鏈接。少數惡意軟件也會使用各種偽裝并上傳到論壇或第三方應用市場供網民下載使用，但從監測的數據來看，此類傳播量不大。
　　該中心提醒網友不要在手機上安裝來歷不明、可能有危險的程序，同時還應設置敏感應用的訪問密碼；如遇手機遺失，立馬遠程銷毀手機數據。此外，用戶也應盡量減少個人信息泄露，尤其是手機號、身份證號、電子郵箱等敏感信息。