来济出差的申先生近日收到一条短信,称他拥有的某车牌号在市区有闯红灯违章记录(记6分罚200元),并附带一个网址链接,落款为济南交警。申先生点击该短信附带的网址,很快手机下载了一个名为"违章查询"的APP。安装过程中,该APP不仅需要读取手机状态、身份,而且还有"读取手机内的文字信息、读取通讯录"等权限需求。安装后,申先生很快收到银行卡的扣款短信,卡内被转走1000多元。
无独有偶,今年央视3·15晚会也曝光了此类读取个人信息被转款的案例,不法分子通过装有恶意软件的充电桩,可以直接进入使用充电桩用户的手机,通过窃取照片信息、控制手机发短信、截取验证码等行为,远程操控手机上的支付软件,给用户造成财产损失。
下载APP被盗刷银行卡一事给申先生造成了心理阴影。"虽然损失数额不太大,但对方如何能精确知道我开车到济南出差,并且发短信推送给我违章信息?"在这个事件中,申先生的疑问是,他的手机号、身份证、姓名、银行卡、银行登录密码和短信验证码是如何被攻破的?
随着智能手机的普及,形形色色的APP层出不穷,为人们生活带来便捷的同时,一些问题随之而来。
APP不规范采集信息埋下隐患
你肯定有过这样的经历:刚买了房,装修公司的电话就打过来了;刚买了车,保险公司的电话就跟过来了……你的信息是如何被窃取的?
舜网研发部工程师李斌告诉记者,当你用了智能手机,你的一举一动就已经在"大数据"监控之下。"拿我们常用的微信来说,假设你是微信用户,在手机联网的情况下使用微信,你所有的位置信息都可以被对方获取到,那么对方就可以通过你不同时间段所在的位置了解你的生活习惯。"
通过位置与地图的比对就能分析出,你的上班地点、中午吃饭地点、喝下午茶地点、晚上住的地点等等,如果一天数据分析不出来,那么就用一个月、一年的数据来分析,甚至可以精确到你的日常起居和圈子范围。通过一个定位功能就能了解到这么多信息,再配合一些其他的信息,比如聊天记录、购物记录、短信记录、理财记录等等,你还能有多少隐私呢?这,就是俗称的"大数据"。
使用智能手机的用户,大多会装上一个天气APP,它会根据用户的地理位置显示天气信息。这就意味着,这个APP会随时知道你在哪儿,即使你没有使用它。为什么APP开发商要如此疯狂地攫取位置信息呢?只要有需求,就会有市场。商户愿意花大笔资金来买单,根据用户具体位置投放精准广告。也就意味着,你的手机里随时会蹦出一则附近商店的广告或者优惠券。除此之外,网站注册、快递单泄露等方式也会将个人隐私暴露无遗。
手机用户的个人信息以"裸奔"的状态在数据市场游走,而用户们还浑然不知。当这些信息被不法分子利用时,就会出现文章开头提到的场景。"以移动公司名义发短信要求补卡、以航空公司名义发短信通知飞机晚点要求机票改签和交通违章查询等,都是常见的套路。"李斌说。
黑客仅需三步就能盗刷信用卡
腾讯安全方面介绍,很多车主收到带有姓名、车牌号的短信,点击短信中的网址后手机就会被安装上一个名为"违章查询"的APP,这其实是一种手机支付病毒。安装后,在后台拦截受害人手机收到的支付验证码短信,通过窃取手机验证码来完成修改并盗取资金。申先生就是因为随便下载了手机短信链接里的APP,才被黑客盯上导致财产损失。李斌通过拆解,还原了申先生的受骗过程(右图)。
李斌提醒,用户不要随意安装短信、QQ和微信收到的APP安装包,尽量在各大应用商店安装APP,面对"扫一扫"就能下载的软件尽量不要扫;不要打开不明来历的链接,若不慎打开立即删掉;每下一个软件时,对于"读取通讯录"、"读取短信"、"读取日程"等都要谨慎选择。
不法分子通过"伪基站"技术发来短信,"提示"交通违章记录。
用户信以为真,点击链接,结果进入了不法分子伪装的钓鱼APP或网站,引导用户一步步输入信息,比如身份证号、卡号、密码、手机号、验证码等信息,APP打包附载木马可拦截银行发送的各种短信(包括转账时的短信验证码和账目变动通知)。
通过网上银行或手机银行,将银行卡上的资金转出。
打击"精准诈骗"需多方发力
腾讯安全团队最新发布的报告显示,个人信息泄露有五大途径:内鬼泄露、黑客攻击、病毒及木马窃取、网络钓鱼、密码暴力破解。专注智能安全的极棒实验室发布的《APP个人隐私研究报告》显示,在电子市场中挑选100多个手机APP(安卓),其中80%的APP会申请读取用户通讯权限。除了通讯信息,APP还会收集涉及健康数据、地理位置数据在内的很多敏感信息。
腾讯安全中心数据显示,网上身份证户籍信息售价每条10元至40元,这部分信息主要用于实施精准电信诈骗或冒名办理信用卡进行恶意透支。车辆信息用于仿冒交通违章类电话短信诈骗,并推送车险等恶意推销广告。开房记录、手机话单、火车购票信息、银行流水单等个人信息售价更高,部分信息售价甚至超过千元,用于非法讨债、商业间谍、行踪调查等。
针对个人信息泄露的风险,支付宝等第三方平台推出了银行卡盗刷保险或银行卡安全险,具体细分险种有:手机资金安全险、非网银银行卡盗刷险、百万高端银行卡盗刷险等。通常保费只有区区2元至数十元,保障金额达1万元至50万元。
" 保护个人信息安全先要治理个人信息的非法交易,让参与倒卖个人信息的各个环节都承担责任。"商务部经贸政策咨询委员会委员荆林波说,这一规定可谓抓住了个人信息安全保护的"牛鼻子"。而移动互联网时代,信息安全频现的各种缺口让利用个人隐私泄露的"精准诈骗"屡屡发生,也与违法成本低、信息过度收集、数据监管有漏洞、运营责任不清等原因分不开,这需要相关各部门协同努力,多措并举,对症下药。