案例分析警示安全隐患:免费WiFi购物卷走账户余额

近日,腾讯移动安全实验室发布《2013年7月手机安全报告》,十大恶意推广病毒感染130余万用户。此前,360手机安全中心、金山手机毒霸等也发布类似报告,警示智能手机中普遍存在的安全隐患。

    事实上,随着移动互联网、云计算、物联网、大数据以及新型智能终端等新一代信息技术的发展,信息安全问题日益严峻,涉及个人信息泄露、网络诈骗、财产被盗、信息丢失等大量问题。

    面对严峻形势,普及市民信息安全意识刻不容缓。今年9月,“智慧城市”嘉定启动首届 “信息安全月”活动。 9月5日,上海首份《我身边的信息安全》市民手册也进入最后修改,并将于今年11月 “上海市信息安全周”期间免费向市民发放。

【最新动态】

《我身边的信息安全》市民手册11月发放

    “如何设置密码虽然老生常谈,却是共性问题,应该再强调,并举些具体的例子。 ”

    “金融类诈骗能否单独拎出来讲讲?我的联华OK账户就被盗刷过4800元。 ”

    “手册是给普通百姓看的,语言应该更通俗易懂些,多配一些解释性的漫画。 ”

    9月5日上午,在上海市经信委位于世博园区新址的会议室内,各路专家正对一本既感觉熟悉,又颇为专业的小册子,提出各种修改意见。这本小册子,正是上海首份《我身边的信息安全》市民手册,由上海市网络与信息安全协调小组办公室牵头编写。

    为了让该手册更好的服务市民,既贴近生活,又能切实提供帮助和指导,市网安办特意邀请了上海市国资委信息化管理处、上海市信息安全行业协会、上海市律师协会电子商务与信息网络专业委员会、市民信箱等单位的各路专家,对手册初稿内容提出修改意见。因长期关注信息安全领域的最新动态,本报记者也特别受邀出席,并带去了很多读者反映的困惑和碰到的问题。

    据悉,该手册将在今年11月“上海市信息安全周”期间免费向市民发放。除了发放纸质的手册,全部内容还会通过手机APP、微信等形式向市民免费推送。

技术防范是手段 培养安全意识是关键

       翻开手册初稿,记者看到,针对市民身边常见的信息安全问题,手册都提供了案例分析和防范提醒。参与编写的工作人员介绍,信息安全不只是技术问题,更多时候其实是一种习惯和意识,这一点迫切需要宣传和引导。第一步,要让老百姓脑子里有信息安全这根弦;第二步,才是技术手段。

    现场有专家指出,像密码管理是人人都在经历的事,但很多人在邮箱、QQ、微博、支付宝中使用相同的用户名和密码。支付宝等重要网站的防护等级可能较高,但邮箱的防护等级就偏弱。一旦邮箱密码被盗,其他的账户都可能遭殃。

    还有很多网站注册时要登记邮箱,在启动“找回密码”功能时,会把网站新密码发到注册邮箱内。然而,一旦邮箱密码被攻破,不法分子完全可以通过曲线迂回的方式,利用“找回密码”功能,同样能攻破防护等级较高的网站。

    还有专家认为,很多人仍然习惯使用弱密码,比如用“123456”“888888”或者本人生日等作为密码,这些也很容易被人破解。专家提醒,密码保护的核心是进行分级管理,按照重要程度设置不同的密码。为了防止密码太多容易混淆,还应该设置自己的密码规则,比如事先设定好特定的数字、字母组合。

    为避免隐私泄露,专家还提醒,在注册网站时,要谨慎填写个人信息,特别是身份证号码。此外,有些人习惯在微博、微信上晒宝宝的照片,这也存在一定风险。

【案例解析】

身边的信息安全

智能手机

案例:使用打车软件3天用掉1G流量

    “我的手机套餐每个月有800M流量,平时根本用不完,怎么这次才用了3天,流量就超标了?”近日,家住浦东的张先生反映,自己通过手机流量监控软件发现,排在流量排行榜第一的竟是一款打车软件,仅3天就被耗掉1G流量。卸载该软件后,手机流量又恢复了正常。然而,尽管张先生怀疑是打车软件搞的鬼,却没有任何证据。他找运营商查证,也被告知无法查询。

    昨天,记者采访一些安装了打车软件的出租车司机。司机们表示,他们每完成一笔业务都会从乘客那里得到“加价费”,从5元到几十元不等。比如,下雨天下班高峰期,在恒隆广场门口会出现加价50元打车的情况。司机们还透露,除了这笔钱,出租车司机还会从打车软件公司处获取奖励,一般是以手机话费的形式充给司机。

    手机软件公司不仅不向司机拿提成,还要倒贴钱,那这些公司靠什么赚钱?对此疑问,出租车司机们异口同声,“流量啊,只要装了这些软件,都要跑流量的,他们就靠这个赚钱。”然而,当记者就此采访几家打车软件公司时,却被告知他们的软件流量很省,有的公司则拒绝回应。

解析

前十大病毒感染百万用户

    不久前,腾讯、360、金山三大安全厂商相继发布报告,直指智能手机中存在的安全隐患。

    腾讯移动安全实验室发布的《2013年7月手机安全报告》显示,在2013年7月截获的感染用户前十位的恶意推广类病毒中,感染用户总数达135.79万。其中前三位的病毒的共同的特征和逐利手段是:在用户不知情的状态下,私自下载恶意推广包或未知软件。据介绍,排名第一的是a.expense.newginger,病毒特征是运行后下载恶意代码,同时获取用户的手机设备信息。

推广类病毒形成利益链

    恶意推广类病毒背后的利益链条是什么?报告认为,“免费的APP+植入广告”已成病毒开发者惯用的敛财手段。腾讯移动安全实验室监测到,电子市场、手机论坛等渠道正在不断涌现大量内嵌“恶意广告插件和私自下载软件”代码的盗版应用。这些盗版应用伪装成热门软件诱骗用户下载安装,然后在用户手机通知栏弹出广告等消耗流量。

    目前的手机APP产业链中,大部分APP开发者面临盈利困境,广告依然是APP盈利收入的最主要来源。APP开发者与广告商建立合作协议,在APP页面边框等模块引入广告信息等属于合法的广告投入,但恶意推广类病毒通过私自弹广告、偷偷下载等形式,明显违背了正版APP开发者与手机用户的意愿并侵犯了他们的利益。

    在正常的移动APP广告推广的产业链条中,APP开发者、广告联盟或网盟推广、广告商成为比较关键的三个利益环节。但病毒制作者变相利用了这种广告联盟的软件推广、广告点击的分成利益机制,通过针对知名APP二次打包篡改,植入恶意广告插件或恶意推广类病毒代码,偷偷在后台私自下载恶意推广软件包或强行显示广告。通过这种方式,按照每个用户被推广的软件来计费,也能从广告联盟平台非法获取推广费用。

微信成恶意软件重灾区

    近日,360互联网安全中心发布的《2013年上半年中国手机安全状况报告》指出,2013上半年新增手机木马和恶意软件的数量超过2012年全年,感染量远超去年同期。

    报告指出,2013年上半年,针对微信的恶意软件及相关诈骗行为大量涌现。互联网安全中心曾在4月截获一种可让微信弹广告的新型恶意软件。该恶意软件会自动下载各种软件,并伪装微信消息诱骗用户安装,大量消耗手机上网流量,甚至二次传播手机木马进行恶意扣费。

    此外,骗子通过被盗微信进行“钓鱼”的案件也时有发生。骗子以迷惑性的措辞群发钓鱼链接骗取网民QQ账号或直接骗取钱财。而相比于QQ,微信好友都是实时在线,信息随时推送,所以微信被盗后的诈骗速度更快、范围也更广。

手机族要多查话费清单

    据悉,手机病毒有“一硬二软”之说。硬病毒是指一些手机出厂时就有的“后门”,这种病毒多见于山寨机,就是通过手机内部的软件“吸费”、盗取信息。而软病毒就是人们通常所说的手机软件病毒,一种是会私下损害用户的利益,比如会让手机自动大量发送彩信产生高额话费,另一种软病毒会把用户的信息,包括短信、通话记录,甚至手机位置,都上传给不法分子,或者上传到特定的网站,如用户在短信中涉及银行账号等个人隐私,那后果就更严重了。手机用户最好的做法就是谨慎下载安装,同时经常查询话费清单,以便及时发现问题。

防范技巧

    1、收到不明来历短信、彩信、图片、网址链接,不要轻易打开。即使是以“安全软件”为名的也不要轻信。

    2、手机如需维修时,最好把SIM卡拔出来。蓝牙等功能,不用时关掉。

    3、经常查一查话费清单,看有无流量特别和异常扣费的情况。

    4、给智能手机安装防病毒软件,定期进行升级。

    5、不要见码就刷。

    6、禁用WiFi自动连接功能。

    7、要为手机做数据备份。

WiFi使用

案例:公共网络上淘宝网后网银被盗

    随着WiFi无线网络的普及,除了政府部门推出的公共信号,各类商家也都提供此类服务,以给客户更好的体验。在本市不少咖啡馆、餐厅、宾馆、商场等消费场所,使用免费的WiFi,已经成为很多人的习惯。

    然而,不久前,家住闸北区的李小姐却碰到一件蹊跷事。她在一家星巴克 上网时, 发现一个名为“starbucks2”的无线网络连接,无需输入密码即可使用。她使用手机登录后进入淘宝浏览购物,在网银支付后不久就发现密码被盗,所幸账户内余额不多,没有造成大的损失。

    事后,李小姐才得知,该WiFi信号并非商家提供,而是不法分子设置的相似名称的钓鱼WiFi,目的就是套取用户的隐秘信息。

解析

“i-Shanghai”是i还是1

    上海在国内率先推出开放免费WiFi“i-Shanghai”,据悉,今年10月底前将完成全部450处公共场所的技术检测、服务验收以及张贴统一标志牌等工作。

    如今,这一公共网络也被不法分子利用,上海市公安局网络安全总队官方微博就曾发布提示:黑客利用手机屏幕小,细节显示被忽视特点,把钓鱼WiFi命名为“1-Shanghai”或其他具迷惑性的名字。黑客通过这些无线网络“钓取”密码,躲在一些有WiFi覆盖的公共区域,把私设的WiFi密码设备连到笔记本电脑上,再冠以和真实免费WiFi相似的名字,然后守株待兔。一旦有粗心用户将上网设备连接到这个WiFi,便成了被攻击的目标。

盗微博、QQ很容易

    免费WiFi能盗走用户账户信息吗?专家介绍,不法分子会设置没有密码的WiFi吸引手机用户使用。一旦连上钓鱼WiFi,手机用户的操作记录就会被复制,被相关软件破解。用户的账号被盗分两种:网站加密性不高时,直接被不法分子破解;安全系数高的网站,如银行、支付宝等网站,黑客则会引导用户到山寨钓鱼网站,从而获取账号和密码。因网上银行、支付宝等金融类网站和手机客户端信息经过了层层加密,破解的难度大,而微博、QQ、邮箱、游戏等账号则会相对容易。

    专家介绍,搭建钓鱼WiFi其实很简单,用一台能上网的笔记本电脑做“热点”,在笔记本电脑上安装好嗅探软件,当有手机连接上“热点”并上网,该手机所有的上网数据通过“热点”传到因特网,嗅探软件复制手机用户所有上网数据并解密,手机用户浏览过的网站,登录的账号、密码,聊天记录全部都能被“钓鱼者”看到。

    此外,针对市面上普遍存在的两大手机系统“苹果”和“安卓”,专家认为,没有越狱的苹果系统比安卓系统更安全。因为苹果系统的所有应用软件只能从苹果商店下载,通过了苹果公司包括安全检查在内的一系列审核,而安卓的系统是开放的。

防范技巧

    1、关闭手机、笔记本电脑的WiFi自动连接开关。如果保持打开状态,手机在进入有WiFi的区域后会自动扫描,并连接没有密码的网络,大大增加用户误连钓鱼WiFi的几率。

    2、手动使用时,应看清WiFi名称,如在商家处使用,碰到名称类似的信号,最好及时向工作人员询问并确认。

    3、最好不要在使用公共WiFi网络的情况下,使用支付宝或网银,进行涉及财产的业务。

    4、在登录手机银行或者支付宝、财付通等金融服务类网站时,最好不要直接通过浏览器,而应用银行或者第三方支付公司专用应用程序。

【嘉定样本】

政府工作人员“移动办公”

    随着移动互联网、云计算、物联网、大数据以及新型智能终端等新一代信息技术的发展,在上海嘉定,“智慧城市”已经逐渐从梦想走进现实。

    嘉定区科委副主任焦统骞告诉记者,“智能移动办公”已在嘉定全区实现了全覆盖。嘉定6000多名政府工作人员可以通过智能手机使用政务系统,随时随地实现工作的上传下达。他现场给记者做了一番演示,打开手机,他就能看到各类会议通知和工作汇报,各项工作的进展情况也一目了然。 “这还只是最初步的应用,但工作效率相比过去已经提高了数倍。 ”

    除了政务系统的信息化,在嘉定科博会的展厅,记者看到更多智慧城市在民生方面的体现。

    按下手中的遥控器,选择智慧社区模块,就可轻松预约全市所有医院的专家门诊,预约老年人居家上门服务,缴纳公用事业费,同时还能获取社区信息、旅游、教育资讯等。

    在公交站台,乘客能通过显示屏了解下一班公交车的进站时间。在调度中心,管理人员则能掌握公交车的车况,监控司机是否超速等。

    在交通方面,已在市区使用多年的“路况诱导系统”也正引入郊区嘉定。通过“红、黄、绿”的三色指示,能实时反映道路拥堵还是畅通,引导司机选择出行线路。焦副主任说,“该系统将在今年国庆节前覆盖新城,春节前覆盖老城区,明年实现全区覆盖。 ”

率先启动信息安全月活动

    伴随“智能城市”的推进,信息安全的风险也在增加。大数据时代有何商业模式?致命风险如何预防?互联网与电商怎样实现云安全?软件漏洞挖掘技术发展有何趋势?

    在嘉定科博会期间举办的“电子商务与支付行业信息安全高峰论坛”上,来自国际云安全联盟CSA的上海负责人沈勇、电商行业法律专家刘春泉、OWASP上海区负责人宋国徽、快钱高级信息安全顾问刘锦详、PPTV资深信息安全专家向红阳等专家先后做了主题发言,和场内数百位嘉宾一起探讨了大数据时代的信息安全问题。

    上海市信息安全行业协会秘书长王强介绍,论坛之所以选择在嘉定举办,是因为嘉定是上海的“科技卫星城”,聚集了大量科研院所,同时嘉定还是上海的物联网中心和电商基地,京东、凡客的总部都位于嘉定。在此背景下讨论电子商务与支付行业的安全问题,非常有必要。“协会不仅支持了这次峰会,还可能将2013信息安全竞赛综合组的决赛和颁奖仪式放在嘉定区,因为他们的信息安全工作走在全市前列。”上海市信息安全行业协会副秘书长张凯告诉记者。

    据悉,伴随高峰论坛的召开,嘉定也率先启动了“信息安全月”活动。该活动以“智慧嘉定·智慧安全”为主题,从政策实践、系统防范、人才技能、全民意识等多个信息安全相关领域相关层面,推进政府信息安全工作深化,推动企业信息安全体系健全,提升全民信息安全防范意识,以适应嘉定新城智慧城市建设信息安全保障要求

你可能感兴趣的:(安全)