网络安全检测|网络安全服务|网络安全扫描-香港墨客投资移动版

 　　来济出差的申先生近日收到一条短信，称他拥有的某车牌号在市区有闯红灯违章记录(记6分罚200元)，并附带一个网址链接，落款为济南交警。申先生点击该短信附带的网址，很快手机下载了一个名为“违章查询”的APP。安装过程中，该APP不仅需要读取手机状态、身份，而且还有“读取手机内的文字信息、读取通讯录”等权限需求。安装后，申先生很快收到银行卡的扣款短信，卡内被转走1000多元。

　　无独有偶，今年央视3·15晚会也曝光了此类读取个人信息被转款的案例，不法分子通过装有恶意软件的充电桩，可以直接进入使用充电桩用户的手机，通过窃取照片信息、控制手机发短信、截取验证码等行为，远程操控手机上的支付软件，给用户造成财产损失。

　　下载APP被盗刷银行卡一事给申先生造成了心理阴影。“虽然损失数额不太大，但对方如何能精确知道我开车到济南出差，并且发短信推送给我违章信息?”在这个事件中，申先生的疑问是，他的手机号、身份证、姓名、银行卡、银行登录密码和短信验证码是如何被攻破的?

　　随着智能手机的普及，形形色色的APP层出不穷，为人们生活带来便捷的同时，一些问题随之而来。

　　APP不规范采集信息埋下隐患

　　你肯定有过这样的经历：刚买了房，装修公司的电话就打过来了;刚买了车，保险公司的电话就跟过来了……你的信息是如何被窃取的?

　　舜网研发部工程师李斌告诉记者，当你用了智能手机，你的一举一动就已经在“大数据”监控之下。“拿我们常用的微信来说，假设你是微信用户，在手机联网的情况下使用微信，你所有的位置信息都可以被对方获取到，那么对方就可以通过你不同时间段所在的位置了解你的生活习惯。”

　　通过位置与地图的比对就能分析出，你的上班地点、中午吃饭地点、喝下午茶地点、晚上住的地点等等，如果一天数据分析不出来，那么就用一个月、一年的数据来分析，甚至可以精确到你的日常起居和圈子范围。通过一个定位功能就能了解到这么多信息，再配合一些其他的信息，比如聊天记录、购物记录、短信记录、理财记录等等，你还能有多少隐私呢?这，就是俗称的“大数据”。

　　使用智能手机的用户，大多会装上一个天气APP，它会根据用户的地理位置显示天气信息。这就意味着，这个APP会随时知道你在哪儿，即使你没有使用它。为什么APP开发商要如此疯狂地攫取位置信息呢?只要有需求，就会有市场。商户愿意花大笔资金来买单，根据用户具体位置投放精准广告。也就意味着，你的手机里随时会蹦出一则附近商店的广告或者优惠券。除此之外，网站注册、快递单泄露等方式也会将个人隐私暴露无遗。

　　手机用户的个人信息以“裸奔”的状态在数据市场游走，而用户们还浑然不知。当这些信息被不法分子利用时，就会出现文章开头提到的场景。“以移动公司名义发短信要求补卡、以航空公司名义发短信通知飞机晚点要求机票改签和交通违章查询等，都是常见的套路。”李斌说。

　　黑客仅需三步就能盗刷信用卡

　　腾讯安全方面介绍，很多车主收到带有姓名、车牌号的短信，点击短信中的网址后手机就会被安装上一个名为“违章查询”的APP，这其实是一种手机支付病毒。安装后，在后台拦截受害人手机收到的支付验证码短信，通过窃取手机验证码来完成修改并盗取资金。申先生就是因为随便下载了手机短信链接里的APP，才被黑客盯上导致财产损失。李斌通过拆解，还原了申先生的受骗过程(右图)。

　　李斌提醒，用户不要随意安装短信、QQ和微信收到的APP安装包，尽量在各大应用商店安装APP，面对“扫一扫”就能下载的软件尽量不要扫;不要打开不明来历的链接，若不慎打开立即删掉;每下一个软件时，对于“读取通讯录”、“读取短信”、“读取日程”等都要谨慎选择。

　　第1步

　　不法分子通过“伪基站”技术发来短信，“提示”交通违章记录。

　　第2步

　　用户信以为真，点击链接，结果进入了不法分子伪装的钓鱼APP或网站，引导用户一步步输入信息，比如身份证号、卡号、密码、手机号、验证码等信息，APP打包附载木马可拦截银行发送的各种短信(包括转账时的短信验证码和账目变动通知)。

　　第3步

　　通过网上银行或手机银行，将银行卡上的资金转出。

　　打击“精准诈骗”需多方发力

　　腾讯安全团队最新发布的报告显示，个人信息泄露有五大途径：内鬼泄露、黑客攻击、病毒及木马窃取、网络钓鱼、密码暴力破解。专注智能安全的极棒实验室发布的《APP个人隐私研究报告》显示，在电子市场中挑选100多个手机APP(安卓)，其中80%的APP会申请读取用户通讯权限。除了通讯信息，APP还会收集涉及健康数据、地理位置数据在内的很多敏感信息。