网银被盗 免费WIFI热点很危险?

网友“爱之心切”：

有网民6万存款莫名被盗仅剩500，警方怀疑与该网民在公共场所蹭网有关。现在免费WiFi这么多，都有这么大危险吗?

很多人质疑免费WiFi不安全。金山网络安全专家李铁军在查阅详细新闻内容后认为，网银被盗可能是手机中毒导致，网银被盗与蹭网之间是否存在直接的因果关系，尚需更多证据。

李铁军指出，蹭网有一定安全风险，但蹭网直接导致网银资金被盗可能性很低。如原文明确提到“银行工作人员发现，小明的手机还被骗子做了手脚，收短信的功能被屏蔽，因此这两天里所有交易记录，他压根都没有收到短信提示。”

这样的例子并不鲜见。早在2013年7月，国内有安全厂商就截获拦截手机短信来间接盗窃网银资金的手机病毒。这类病毒的功能简单，病毒制作容易，后来被金山毒霸命名为“验证码大盗”，因为这一类病毒专门盗窃中毒手机上与支付有关的验证码信息。

[[108534]]

简单描述一下验证码大盗的作案流程

第一步：验证码大盗作者开发出手机病毒(只感染安卓手机)，由病毒传播者(网络小偷或网络骗子)将病毒上传到网盘，生成一个下载路径，或将下载路径转换成二维码。

第二步：小偷或骗子在网络上寻找目的网民(可能是淘宝网的买家，也可能是店主)，通过询价或下单购物建立联系。通过聊天工具给对方发送含有病毒程序下载的链接或二维码，欺骗对方扫码后安装到手机上。

第三步：由于安卓手机有非常高的市场占有率，骗子多半会成功，之后验证码大盗病毒就会拦截特定内容的短信或者拦截所有短信。其结果是，中毒手机可能看不到短信。

李铁军指出，并不是短信收不到，而是短信被病毒截获后，迅速通过邮件或短信转发给小偷，验证码大盗再以迅雷不及掩耳之势将短信删除。用户感知到的现象是，手机收不到短信。

第四步：小偷在自己的电脑上重置中毒用户的支付帐号密码，重置成功，就可随意消费。第三方支付帐号关联的银行储蓄卡余额可被轻易转出或消费，也可以消费与该帐号关联的信用卡，不仅如此，如果受害者是网店店主，小偷还可以申请贷款，再将所有贷款全部转出。

身份证号怎么到骗子手里

有网友会问，重置密码时，需要验证身份证号，身份证号是怎么到骗子手里的?

对此，李铁军指出，对于普通人来说，知道一个人的手机号，和支付帐号，去找身份证号可能很困难。但对有心行骗的人来说，并非不可能，知道某人的手机号，去网上一搜，没准就知道此人是谁，再花点时间，就可能搜出身份证号来。

况且，在骗子手里，多半收集各种渠道泄露出来的海量公民个人信息(如2000万条网民开房记录就是非常全面的个人信息库，而骗子、小偷手中掌握的数据库可能远不止这些)，他只需要在数据库中搜索一下，多半就得逞。

国内安全厂商抓到的验证码大盗样本中，一些会在程序运行界面，弹出让网民自己填写姓名、身份证号操作界面(我们在木马收集信息的邮箱中就发现了大量网民自己提交的身份证号和姓名)。就算没有这些，骗子也有的是招，如打个电话，编个谎言，就能把身份证号骗到手。

一旦身份证号和短信都到了骗子手里，那么，用户存在银行卡里的钱，已不再属于自己。

蹭网导致网银资金被盗可能性极小

如果用户不幸接入不怀好意的攻击者设置的WiFi热点，攻击者可以将用户的设备上网的全部数据包截获，再通过解码工具研读分析。

一些没有加密的明文信息可以直接读取，但与网银有关的信息，却不容易，因为用户电脑或手机与银行通信的数据全程使用了高强度加密，短时间内破解基本无望。

聪明的攻击者往往使用WiFi热点构造钓鱼网站比如构造一个假网店，欺骗用户在假网店提交登录帐号、密码，以及网银相关的敏感信息。

所以，李铁军建议用户不要在公共网络接入点或公用的电脑上购物或登录网银，这会让用户资金被盗的风险增加。而只在这种环境进行一般的网络浏览，风险相对较小。

如果在蹭网环境使用手机APP去购物，可能会有风险。使用浏览器登录操作网银安全性相对有保障，但在手机平台存在大量购物网站的APP，这些APP是否做到全程数据加密，这需要打个问号。因为没有加密的数据传输，在蹭网的情况下，都可能被监听。

李铁军再次建议，不要在公共WiFi接入的情况下购物，进行一般的资讯浏览和搜索操作问题都不大。敏感操作，还是用自己的手机数据上网吧，2G/3G/4G都可以。

如何防止6万只剩500

小明的情况是由两个因素共同作用造成，即个人身份信息泄露和手机中毒，两种情况都发生。防止网银资金被盗李铁军认为同样需要从这两方面着手：

第一，需要时刻保护个人信息不被泄露。

保护个人信息不泄露的确非常困难。需要经常提醒自己不要随意拿真实身份注册网络服务，需要给自己经常使用的重要网络服务设定相对复杂的密码，确保与其他密码不一样，还得定期更换密码。——仅仅是密码保护就是挺难的一个技巧。

第二，就是防止手机中毒。

不要轻易相信来历不明的程序，不要轻易扫二维码，扫完还启动浏览器去下载一个APK的安卓文件，更不要自己傻傻地一次次点下一步，将这个莫名其妙的程序安装在自己的手机上。如果不幸安装别人发来的并不可靠的程序在自己的安卓手机上，八成会和小明一个结果。

用户需要有安卓手机杀毒软件。当检测到短信中含有“验证码、银行、支付”等敏感信息时，会自动将短信加密保护，安全软件会阻止第三方程序读取。此时，就算遇到一个验证码大盗的最新变种，支付系统发到你手机上的机密短信，仍然无法到达骗子或小偷手中。(建平)