手機木馬病毒ZitMo 攻陷網上銀行手機密碼短訊 SMS 雙重認證

SUN熱辣：手機病毒攻陷網銀
2012年10月30日(二)
The Sun

病毒入侵，網上銀行隨時淪陷？現時本港有十多間銀行要求用戶在網上交易時，除了要用個人密碼登入外，更需輸入以手機短訊（SMS）接收的一次性密碼作「雙重認證」。

這種保安系統看似堅如磐石，但原來已經被一款名為「ZitMo」的智能手機木馬病毒悄悄攻陷。

黑客能藉此病毒「盜取」密碼短訊，「爆破」受害人的網上銀行帳戶。近日ZitMo更變種入侵亞洲地區，殺傷力更強，用戶稍一不慎，個人資料不保之餘，存款隨時凍過水！

本港日前有銀行的網上理財服務受到黑客攻擊，令不少市民關注網上銀行（網銀）的保安問題。習慣使用網銀服務的OL李小姐卻不擔心，因為其戶口已使用「雙重認證」核實身份，「銀行會用短訊send（傳送）密碼畀我，要輸入密碼先可以交易，就算（黑客）偷到戶口，佢都唔會偷到短訊嘅密碼啦！」不過，這種看似滴水不漏的雙重認證系統，已被黑客破解。

http://easss.com/softwares/antivirus

據了解，過去黑客「爆破」網銀戶口，一般會利用虛假電郵、偽冒網站，甚至主動入侵等方法，令用戶的電腦植入木馬病毒Zeus，當用戶登入網銀時，便趁機偷取帳戶的名稱及密碼。隨着雙重認證流行，黑客即見招拆招，將病毒Zeus升級，並製作出能夠監視、轉發手機資料及機內短訊的智能手機木馬病毒ZitMo（Zeus-in-the-Mobile）。

保安編碼器更安全

新型Zeus能夠收集手機號碼及型號，再以升級保安程式為名，傳送ZitMo至相關手機，誘使用戶安裝。當用戶下載後，黑客便能攔截手機的一次性短訊密碼進行商業犯罪。

網民arsh驚聞ZitMo後恍然大悟：「前一時段經常收到所謂手機升級短信（訊），估計就是這個目的（入侵手機）。」現時本港約有十五間銀行採用短訊雙重認證，涉及網上轉帳及繳費等服務，若黑客成功入侵網銀戶口，後果不堪設想。

國際網絡安全公司Fortinet網絡保安顧問吳維穎指，ZitMo的危險性在於它能令雙重認證系統形同虛設，「就算唔係直接偷晒戶口啲錢，都可以拎啲個人資料去（黑市）賣，或者行騙。」

事實上，雙重認證有多種方式，例如使用「電子證書」或「保安編碼器」，而吳坦言在三種認證方法中，短訊雙重認證的安全程度最低。

Android等平台失守

該公司網絡威脅應變小組高級經理Guillaume Lovet更指，已在亞洲及歐洲發現少量ZitMo案例，相信是病毒製造者正測試程式碼，又或正在攻擊特定目標。據了解，新型ZitMo已攻陷Android、Blackberry、Symbian及Windows Mobile等多個智能手機平台，並且具有類似殭屍網絡（botnet）的功能，即黑客可透過網絡遙控中毒手機攻擊其他手機，為禍更廣。

記者向本港部分銀行查詢，其中四間銀行發言人指，除短訊雙重認證外，尚有其他保安措施以提高網上交易的安全性；其中一間將推出保安編碼器，取代短訊雙重認證。香港金融管理局發言人表示，局方已要求銀行加強保安，但目前未有收到網銀保安系統被上述木馬病毒攻破的報告。

香港專業教育學院（屯門）資訊及通訊科技系系主任梁秉雄稱，黑客確能以木馬病毒「偷取」短訊，惟要毫無破綻則較為轉折，需要一定技術。他提醒市民應注意手機有否不正常資料傳輸，及避免安裝可疑程式。

木馬病毒攻破雙重認證，網上銀行用戶的存款隨時凍過水。
本港不少網上銀行均有採用雙重認證系統。
黑客攻破雙重認證流程
以Zeus收集網銀帳戶及用戶手機資料。
誘騙用戶「升級」保安程式，傳送ZitMo入侵手機，偷取帶有密碼的短訊。
繞過受害人，入侵帳戶。

方便會照用
董小姐（社會服務）：「本身有用（短訊雙重認證），知道有呢隻病毒都有啲擔心，不過網上銀行實在好方便，所以都會照用。」

吳先生（保險）：「知道乜嘢係短訊雙重認證，本身都覺得（網上銀行）幾安全，依家有呢啲病毒以後會小心啲。」