手机软件成“精准诈骗”帮凶 下载的APP如何“出卖”了你?

2017-03-23 08:17:00 来源: 济南日报 作者: 闫珍珍 胡磊

  来济出差的申先生近日收到一条短信,称他拥有的某车牌号在市区有闯红灯违章记录(记6分罚200元),并附带一个网址链接,落款为济南交警。申先生点击该短信附带的网址,很快手机下载了一个名为“违章查询”的APP。安装过程中,该APP不仅需要读取手机状态、身份,而且还有“读取手机内的文字信息、读取通讯录”等权限需求。安装后,申先生很快收到银行卡的扣款短信,卡内被转走1000多元。

  无独有偶,今年央视3·15晚会也曝光了此类读取个人信息被转款的案例,不法分子通过装有恶意软件的充电桩,可以直接进入使用充电桩用户的手机,通过窃取照片信息、控制手机发短信、截取验证码等行为,远程操控手机上的支付软件,给用户造成财产损失。

  下载APP被盗刷银行卡一事给申先生造成了心理阴影。“虽然损失数额不太大,但对方如何能精确知道我开车到济南出差,并且发短信推送给我违章信息?”在这个事件中,申先生的疑问是,他的手机号、身份证、姓名、银行卡、银行登录密码和短信验证码是如何被攻破的?

  随着智能手机的普及,形形色色的APP层出不穷,为人们生活带来便捷的同时,一些问题随之而来。

  APP不规范采集信息埋下隐患

  你肯定有过这样的经历:刚买了房,装修公司的电话就打过来了;刚买了车,保险公司的电话就跟过来了……你的信息是如何被窃取的?

  舜网研发部工程师李斌告诉记者,当你用了智能手机,你的一举一动就已经在“大数据”监控之下。“拿我们常用的微信来说,假设你是微信用户,在手机联网的情况下使用微信,你所有的位置信息都可以被对方获取到,那么对方就可以通过你不同时间段所在的位置了解你的生活习惯。”

  通过位置与地图的比对就能分析出,你的上班地点、中午吃饭地点、喝下午茶地点、晚上住的地点等等,如果一天数据分析不出来,那么就用一个月、一年的数据来分析,甚至可以精确到你的日常起居和圈子范围。通过一个定位功能就能了解到这么多信息,再配合一些其他的信息,比如聊天记录、购物记录、短信记录、理财记录等等,你还能有多少隐私呢?这,就是俗称的“大数据”。

  使用智能手机的用户,大多会装上一个天气APP,它会根据用户的地理位置显示天气信息。这就意味着,这个APP会随时知道你在哪儿,即使你没有使用它。为什么APP开发商要如此疯狂地攫取位置信息呢?只要有需求,就会有市场。商户愿意花大笔资金来买单,根据用户具体位置投放精准广告。也就意味着,你的手机里随时会蹦出一则附近商店的广告或者优惠券。除此之外,网站注册、快递单泄露等方式也会将个人隐私暴露无遗。

  手机用户的个人信息以“裸奔”的状态在数据市场游走,而用户们还浑然不知。当这些信息被不法分子利用时,就会出现文章开头提到的场景。“以移动公司名义发短信要求补卡、以航空公司名义发短信通知飞机晚点要求机票改签和交通违章查询等,都是常见的套路。”李斌说。

  黑客仅需三步就能盗刷信用卡

  腾讯安全方面介绍,很多车主收到带有姓名、车牌号的短信,点击短信中的网址后手机就会被安装上一个名为“违章查询”的APP,这其实是一种手机支付病毒。安装后,在后台拦截受害人手机收到的支付验证码短信,通过窃取手机验证码来完成修改并盗取资金。申先生就是因为随便下载了手机短信链接里的APP,才被黑客盯上导致财产损失。李斌通过拆解,还原了申先生的受骗过程(右图)。

  李斌提醒,用户不要随意安装短信、QQ和微信收到的APP安装包,尽量在各大应用商店安装APP,面对“扫一扫”就能下载的软件尽量不要扫;不要打开不明来历的链接,若不慎打开立即删掉;每下一个软件时,对于“读取通讯录”、“读取短信”、“读取日程”等都要谨慎选择。

  第1步

  不法分子通过“伪基站”技术发来短信,“提示”交通违章记录。

  第2步

  用户信以为真,点击链接,结果进入了不法分子伪装的钓鱼APP或网站,引导用户一步步输入信息,比如身份证号、卡号、密码、手机号、验证码等信息,APP打包附载木马可拦截银行发送的各种短信(包括转账时的短信验证码和账目变动通知)。

  第3步

  通过网上银行或手机银行,将银行卡上的资金转出。

  打击“精准诈骗”需多方发力

  腾讯安全团队最新发布的报告显示,个人信息泄露有五大途径:内鬼泄露、黑客攻击、病毒及木马窃取、网络钓鱼、密码暴力破解。专注智能安全的极棒实验室发布的《APP个人隐私研究报告》显示,在电子市场中挑选100多个手机APP(安卓),其中80%的APP会申请读取用户通讯权限。除了通讯信息,APP还会收集涉及健康数据、地理位置数据在内的很多敏感信息。

  腾讯安全中心数据显示,网上身份证户籍信息售价每条10元至40元,这部分信息主要用于实施精准电信诈骗或冒名办理信用卡进行恶意透支。车辆信息用于仿冒交通违章类电话短信诈骗,并推送车险等恶意推销广告。开房记录、手机话单、火车购票信息、银行流水单等个人信息售价更高,部分信息售价甚至超过千元,用于非法讨债、商业间谍、行踪调查等。

  针对个人信息泄露的风险,支付宝等第三方平台推出了银行卡盗刷保险或银行卡安全险,具体细分险种有:手机资金安全险、非网银银行卡盗刷险、百万高端银行卡盗刷险等。通常保费只有区区2元至数十元,保障金额达1万元至50万元。

  “保护个人信息安全先要治理个人信息的非法交易,让参与倒卖个人信息的各个环节都承担责任。”商务部经贸政策咨询委员会委员荆林波说,这一规定可谓抓住了个人信息安全保护的“牛鼻子”。而移动互联网时代,信息安全频现的各种缺口让利用个人隐私泄露的“精准诈骗”屡屡发生,也与违法成本低、信息过度收集、数据监管有漏洞、运营责任不清等原因分不开,这需要相关各部门协同努力,多措并举,对症下药。

初审编辑:王晓亮

责任编辑:刘美显

推荐阅读
  • 2016年山东城镇化率达59.02%!济南外来人口已近百万

    11.jpg

    2016年,我省常住人口有9946.64万人,比上年净增99.48万人。出生率17.89‰,比上年上升5.34个千分点,为上世纪90年代以来最高年份。全省城镇化率达到59.02%! [详细]

    03-23 07-03新锐大众
  • 山东劳务输出带回500亿元工资,服务员月薪最低八千

    11.jpg

    随着国内赴澳游客的增多,拉面师、茶艺师、了解孔孟历史的山东人变得吃香。据山东省商务厅统计,去年全省外派各类劳务人员68673人,同比增长13%,带回了500多亿元的工资收入。 [详细]

    03-23 07-03齐鲁晚报
  • 厉害了!济南将建国内最大中央厨房,粮食加工变旅游

    00.jpg

    项目建设是济南“四个中心”建设的“牛鼻子”,选择什么样的项目,用什么样的速度推进,直接关系到济南的发展方向和发展速度。历城区当天有4个项目开工,两个项目位于唐冶片区,除了首创奥特莱斯项目外,唐冶新城鲁能商业综合体及体育公园建设项目也同时开工。[详细]

    03-23 07-03齐鲁晚报
  • 涨价了?济南2元内的盐太难找!盐业公司:产品升级

    11.jpg

    食盐是生活最离不开的调味品。记者在食盐专柜上看到,货架上摆着井盐、湖盐、烤盐,品种五花八门,价钱也有很大的差别,从2元到8元不等。面对盐价的变化,济南市盐业公司业务部徐部长解释说,这并不是盐涨价了,而是公司对产品进行了升级。[详细]

    03-23 07-03齐鲁晚报
  • 多位市民投诉用水难题长期未解决 东岸嘉园业主搬出

    近日,多位市民反映所在小区水压低带来诸多不便,期间多次拨打济南水务集团小白热线反映用水问题,一直没有得到解决。关于高新区东岸嘉园小区水压低问题,记者联系到济南水务集团相关负责人李先生,他表示:“该小区属于二次加压问题,现已解决。[详细]

    03-23 08-03都市女报
  • 济南90后母亲患白血病才知被领养 寻亲却已是物是人非

    22日,山东省立医院病房,丈夫张良峰在照顾患病的王兆红。”  24年前,由于婚后没有孩子,王家安多方托人打听,最后在中间人的牵线下,抱养了一名1岁女童,她就是王兆红。”王家安说,女儿白天去上学,晚上回来就给奶奶做饭、擦身、洗衣,直到老人2012年去世,每...[详细]

    03-23 08-03济南时报
相关新闻