回復陌生簡訊之後銀行卡被盜刷是怎樣實現的?如何避免?

【[話筒]回復陌生簡訊「你是?」 銀行卡被盜刷12次】徐州耿先生收到陌生簡訊:「耿某某老同學,你的照片」,後面是個網址,耿先生並未點開,而是回復:「你是?」之後手機多了個名為「體檢」的木馬病毒APP,使其銀行卡被盜刷12次共5760元。警方提示:陌生簡訊不點不回,馬上刪除!http://t.cn/RZbq1EH 耿先生並沒有點擊網址,那個盜刷APP是怎樣在機主不知道的情況下自動安裝的?該如何避免?


收到簡訊即可中毒的可能性確實存在,前提條件是手機操作系統的簡訊模塊出現嚴重安全漏洞,從目前的情況來看,還沒有類似的漏洞報告。

當然了,可能是未公開的0day,不過這麼厲害的漏洞只是被拿來盜刷銀行卡……是不是有點太不值了……

再來說說這次的情況,題主給出的文章中附帶了警方的原文:

注意紅框部分,點開鏈接就中了木馬,而不是收到簡訊就中了。

所以說,收到簡訊就中了木馬,要麼是記者亂寫,要麼是耿先生自己點開了鏈接但自己卻不承認或者忘記了。


根據我四年的Android使用經驗,應該是那個事主回復簡訊後點了那個鏈接,鏈接是Android安裝包的下載地址,下載完成之後他沒仔細看該APP涉及隱私的許可權直接安裝打開了,被人家竊取了手機號碼以及驗證簡訊信息(這個在Android上很容易做到),再加上別人已經知道他銀行卡號,被轉賬也是易如反掌…至於是不是像新聞描述的那樣,不管你信不信,反正我不信。

回個簡訊就把APP給裝上了,還要刷機才能清除,我讀書多你騙不到我…

總結:事主推卸自身責任+記者沒專業文化,鑒定完畢!


更新:修改一點小技術細節,這個案例利用的是「網銀在線」的支付功能而不是手機銀行的轉賬。所以也不需要開通手機銀行,開通的是網上支付功能。(多謝「美的電商」的阮兄提醒)

======

先說結論,我覺得這件事有可能是真的,但是寫這個新聞的記者/編輯不懂裝懂,胡說八道。

要想做到文章描述里的那樣盜取銀行帳戶的現金,至少需要以下幾個條件:

1、用戶的手機上有簡訊漏洞

用戶的手機品牌不知道,我們只能猜大概是較低版本的Android或者是經過修改的山寨Android(越獄後的蘋果也是有可能的),那麼是有可能存在簡訊漏洞,即只要接收特定簡訊就會被植入木馬。當然如果用戶點了簡訊的鏈接,那麼漏洞就應該是瀏覽器的而不是簡訊模塊的,但是以下的其它內容是一樣的。

2、用戶開通了手機銀行轉帳許可權

即使安裝了木馬病毒,要想轉帳,還必須是用戶親自去了銀行營業廳開通了手機銀行轉帳業務,這樣才能在手機上完成轉帳操作。(核實下來應該是網上支付許可權)

3、該銀行的移動客戶端APP存在安全漏洞,可以被木馬病毒繞過

由於手機銀行一般需要用戶登錄並且還會通過簡訊的方式進行確認,那麼這個用戶的銀行移動客戶端必須有相應的安全漏洞可以被繞過,銀行發來的隨機密碼簡訊也需要被木馬病毒截獲,從而完成轉帳操作。(核實下來應該是網銀在線功能)

所以,實際上如果新聞里描述的都是事實,那麼這次入侵操作跟用戶回不回簡訊是沒關係的,如果用戶手機存在簡訊安全漏洞,接收到簡訊的那一刻(或者打開簡訊的那一刻)手機就已經被入侵了,用戶就算按照「警官」的建議不點不回,後果也不會有任何不同。

預防方法很簡單,盡量不要開通手機銀行的轉帳功能(以及網上支付功能),如果非要開通,那麼最好是把網銀APP裝在平板電腦或備用手機上,銀行註冊另外一個手機,轉帳金額限制也要儘可能控制小。

盡量使用大銀行的手機銀行業務,相對安全性高些。

儘可能不要用山寨手機(或越獄蘋果)來安裝網銀應用,定期升級手機ROM。

平時關掉「允許安裝第三方應用」的選項,需要安裝的時候再打開,不要安裝來歷不明的應用。


【回復陌生簡訊手機就能中毒?或是失實新聞】一則來源含糊的新聞在部分警方和媒體微博流傳,稱徐州的耿先生收到一個帶網址的陌生簡訊,他沒點鏈接,只回了句「你是誰」,銀行卡就被盜刷。報道還宣稱,徐州警方說,這是一種手機木馬病毒,回復簡訊也會中招。但@江寧公安在線 表示,回復簡訊不可能中毒。

這個新聞有所失實,收到簡訊就能中毒,你以為手機病毒就跟人類感冒一樣啊,不蓋被子、或者穿的少了,就能夠中毒?

手機也一樣軟體病毒,必然需要執行某些程序才可以,這些程序可以是被動執行、主動執行、按條件執行!

例如:

1、假設收到簡訊之後,簡訊里有惡意程序代碼(事實上可以有,但只是純文本無法執行,不同於電子郵件),然後用戶收到後,點擊查閱簡訊時,同時也執行了該惡意代碼程序,病毒開始。(彩信例外)

2、按條件執行:假設用戶收到簡訊之後,簡訊里含有某一段惡意程序代碼,依照手機的時間來執行,當時間到達了某一刻,病毒程序就開始執行。

事實上,上面所說的兩種方式一般都難以達到,至少目前的情況下,我個人認為難以達到。

那麼,也就剩下一種:用戶手段簡訊了,簡訊的內容比較誘惑、或者迷惑,讓用戶主動去點擊了簡訊當中的網址,導致了惡意病毒程序可執行。


記者畢竟不懂技術,他說的肯定不是全部真相,而且被騙的人說不準就會因為面子等原因而隱瞞部分事實。


謝邀。抱歉僅通過這條新聞的描述,不足以清楚了解這個木馬,我不能亂下結論,贊同排名第一的shotgun的分析猜測。另外這條新聞的內容我覺得不太靠譜,如果真的是簡訊模塊的漏洞,這個0day應該非常值錢,至少在當前版本還沒聽說過,當然如果當事人刷了有問題的ROM則另當別論,我更願意相信是記者扭曲了事實或者是當事人記錯了,去年七夕那個木馬雖然也是利用簡訊傳播,但是是需要點擊簡訊中的鏈接的。


推薦閱讀:

魅族 MX6 的實際體驗如何?
手機,平板,筆記本這些電子設備可不可以設計一鍵自毀的機制來防止盜竊?
你為什麼用黑莓?
2015年10月8日,智能手機鄙視鏈是怎樣的?
為什麼需要256g空間的手機?

TAG:智能手機 | 支付寶 | 京東 | 信息安全 | 快捷支付銀行代扣渠道 |