随着计算机技术的发展,支付方式也发生了翻天覆地的变化,先是数字密码支付,到指纹密码支付,现在又发展到了人脸识别技术支付。
人脸识别技术支付给用户提供了一种更为方便的支付方式,用户可用自拍验证身份信息,这看似非常安全,实则不然。
们已经找到这种安全方式的不安全之处了。
McAfee在其博客中表示,有安全研究员已经发现了一种新型的安卓银行木马,它会伪装成一个视频插件,比如Adobe Flash Player、色情APP、视频解码器等,然后要求受害者发送一张手持ID卡的自拍照。
该木马的最新版本叫做Acecard,据卡巴斯基反恶意软件研究小组成员称,它们是目前危害性最大的安卓银行木马。
一旦成功安装在受害者设备上,木马即会要求获得用户的操作权限,执行恶意代码,然后等待受害者打开该应用,诱骗受害者的敏感信息。
Acecard会窃取你的和真实ID信息
如果银行木马公然的暴露在设备上,就会很容易被发现,所以Acecard就将自己隐藏在一个合法的APP上,然后继续执行恶意操作:收集受害者的银行卡姓名、信用卡的有效期、CVV码等。
McAfee的安全研究员Bruce Snell解释称:
“它在合法应用程序上有自己的窗口,要求受害者输入自己的信用卡详细信息。在验证信用卡正确性之后,会继续要求受害者给予其他的信息,比如卡背后的四位数字。”
随后,木马会再次要求受害者输入一些个人信息,比如他们的姓名、出生日期、邮箱地址、信用卡正面照片、信用卡反面照片。甚至,它还会要求受害者拍一张手持信用卡的正面自拍照。
黑客可以非法转账,掏空你的网银账户
有了上述信息,黑客们便可以做任何他想做的事情了,银行转账,登录你的社交媒体账户等等,都是轻而易举的事情。
其实,从社工的角度来看,这种诱骗伎俩着实不够新颖,而且漏洞百出,没有哪家公司或者合法应用会要求用户输入这么多个人敏感信息的。只要有点技术含量或者理智点的用户都能分辨出它的恶意目的,但是往往还有很多用户会上当受骗。
目前,被Acecard银行木马感染的用户主要位于新加坡和香港。
尽管这些伪造的、不合法的APP已经从Google Play Store上下架,但是还是要再次提醒用户,不要从第三方或者不受信任来源处下载应用。
最后再次提醒:没有哪个应用会要求你提供一张手持银行卡的自拍照,除非是去银行柜台办理服务。
本文由 安全客 翻译,“转自安全客”。
原文链接:http://thehackernews.com/2016/10/android-banking-trojan.html
悬镜丨信息系统安全专家
让安全变得更有意思
长按二维码关注安全实验室