近日,迈克菲实验室发现一个可怕的恶意Android应用程序Token Generator(令牌生成器)。该恶意程序与Zeus和SpyEye非常类似,能够进行远程操控,并通过伪装成用户银行的令牌生成器,窃取用户手机银行的账户信息。与Zeus和SpyEye不同的是,它能在不感染用户电脑的同时,获得移动设备上的初始密码,因此其潜伏更深、更不易察觉。
迈克菲发现,恶意攻击者会伪装成用户银行的工作人员,给用户发送电子邮件、短信、网站和链接,诱使用户安装该恶意应用程序。当恶意应用被安装后,它会邀请用户输入登录名和密码,从而获取用户的身份信息。
实际上,大多数银行诈骗并非是由于银行的IT系统被攻破,而是因为用户在不知情的情况下,将个人银行信息给了恶意攻击者。不少以Android手机为目标的恶意应用程序,还会在用户不知情且并未授权的情况下,将手机用户包括银行登录账号密码及手机交易密码等信息秘密发送给攻击者。
在分析了各种手机银行的安全威胁之后,迈克菲安全建议中心为手机银行用户提出了以下安全操作建议,帮助用户避免手机银行的安全威胁。这些建议包括:
一、 不轻易透露个人的银行信息:不向除银行工作人员以外的任何人透露您的银行卡号码或密码;不在短信或电子邮件中透露任何帐户相关的信息;如果您收到金融机构发送来的短信,在阅读后最好能删除。
二、 警惕假冒的应用程序和假冒成银行或银行工作人员发来的信息:对伪装成来自银行的电子邮件(又称网络钓鱼)不要轻易回复,从而避免感染上病毒;下载银行的移动应用程序之前进行确认,确保每次您正在访问真正的银行;报告任何可能是恶意的银行应用程序。
三、 如果您使用Wi-Fi联网,请在确保无线网络安全的情况下安全连接至您的手机银行站点或应用程序:切勿通过不安全的无线网络发送敏感信息,例如酒店或咖啡厅里的无线网络;如果您要在公共场合下查看银行帐户(如图书馆或咖啡厅),请注意安全并在结束查看后立即更改密码。
四、 确保您的设备安全:使用密码保护设备,并将设备设置为一段时间后自动锁定。切勿尝试破解或修改设备,因为这可能会使设备受到恶意软件的攻击。
五、 检查您的设置:Android用户应该确保他们只从信任的来源处下载应用程序。不对“来源不明”的应用授权。
六、 如果您丢失了手机或更改了手机号码,请联系金融机构,以便他们及时更新您的手机银行信息。
七、 留意查看财务对账单:仔细查看财务对账单或交易明细,及时发现任何异常情况。
八、 通过专业化的手机安全软件获得更为完整的安全保护。如可以选择在您的Android设备上安装McAfee® Mobile Security™,它不仅能够提供全天候的防病毒保护,还让你能够备份和恢复个人数据,在设备丢失或被盗时,能对设备进行远程锁定、定位和擦除数据的操作。此外,也可以考虑McAfee® All Access,该软件能够跨包括电脑、笔记本、上网本、智能手机和平板电脑的所有设备提供安全保护——保护用户远离恶意网站和黑客、病毒、网络犯罪、电子诈骗、身份窃取等
作者:龙铭洪,转载请加上这句。