随着各种节假日到来,小伙伴们开始频繁地收发红包,有朋友间的互送,也有商家的推广活动。可你有没有想过,哪天当你点开一个红包链接,自己的支付宝信息瞬间在另一个手机上被“克隆”了?而别人可以像你一样使用该账号,包括扫码支付。这不是耸人听闻,你安装的手机应用里,真的可能存在这种漏洞。
前两天网友小张收到一条95588发来的短信,说好友小燕给自己发了一个188的支付宝红包,小张点击了短信里的网址按里面内容,发现页面跟真支付宝的页面相似,但并没有收到提示领取红包,他就关闭网址退了出来,过了几天小张收到短信提示,发现自己支付宝被人在商场消费一千多元。
经过警方的调查,其实这是一起新型的利用安卓机漏洞进行攻击盗窃的案例。检测发现国内安卓应用市场十分之一的APP存在漏洞而容易被进行“应用克隆”攻击,甚至国内用户上亿的多个主流APP均存在这类漏洞,几乎影响国内所有安卓用户。
首先,“用户手机”收到攻击者发来的短信,当用户点击短信中的链接:用户在自己的手机上看到的是一个抢红包页面:“攻击者手机”则克隆了该“用户手机”的支付宝账户,账户名用户头像完全一致,两台手机看上去一模一样。通过克隆来的二维码,“攻击者手机”在商场轻松地扫码消费成功。警方在被克隆“用户手机”上看到,这笔消费已经悄悄出现在支付宝账单中。因为小额的扫码支付不需要密码,一旦中了克隆攻击,攻击者就完全可以用自己的手机,花别人的钱。其实当你点击短信中链接或扫二维码,就已经中招了,攻击者把与攻击相关的代码,隐藏在一个看起来很正常的页面里面,你打开的时候,你肉眼看见的是正常的网页,可能是个新闻,可能是个视频、可能是个图片,但实际上攻击代码悄悄的在后面执行。攻击者可以在他的手机上完全地操作账户,包括查看隐私信息,甚至还可以盗用里面的钱财。
警方提醒:手机短信中附带的网址尽量不要点击,其中多半可能含有木马病毒。此外,红包信息一定要与发送人进行确认,切莫在陌生网站上输入银行卡号与密码等重要的个人信息。手机用户还可以选择安装各种安全类APP对各类系统病毒以及木马进行实时的拦截查杀,保证手机运行安全,同时也能防止骗子利用钓鱼短信及网站进行钱财诈骗。更重要的是,要关注官方的升级,包括你的操作系统和手机应用,真的需要及时升级。
閱讀更多 洋浦網警巡查執法 的文章
