Showing posts with label 短訊. Show all posts
Showing posts with label 短訊. Show all posts

Tuesday, October 30, 2012

手機木馬病毒ZitMo 攻陷網上銀行手機密碼短訊 SMS 雙重認證


SUN熱辣:手機病毒攻陷網銀
2012年10月30日(二)
The Sun

病毒入侵,網上銀行隨時淪陷?現時本港有十多間銀行要求用戶在網上交易時,除了要用個人密碼登入外,更需輸入以手機短訊(SMS)接收的一次性密碼作「雙重認證」。

這種保安系統看似堅如磐石,但原來已經被一款名為「ZitMo」的智能手機木馬病毒悄悄攻陷

黑客能藉此病毒「盜取」密碼短訊,「爆破」受害人的網上銀行帳戶。近日ZitMo更變種入侵亞洲地區,殺傷力更強,用戶稍一不慎,個人資料不保之餘,存款隨時凍過水!

本港日前有銀行的網上理財服務受到黑客攻擊,令不少市民關注網上銀行(網銀)的保安問題。習慣使用網銀服務的OL李小姐卻不擔心,因為其戶口已使用「雙重認證」核實身份,「銀行會用短訊send(傳送)密碼畀我,要輸入密碼先可以交易,就算(黑客)偷到戶口,佢都唔會偷到短訊嘅密碼啦!」不過,這種看似滴水不漏的雙重認證系統,已被黑客破解

http://easss.com/softwares/antivirus

據了解,過去黑客「爆破」網銀戶口,一般會利用虛假電郵、偽冒網站,甚至主動入侵等方法,令用戶的電腦植入木馬病毒Zeus,當用戶登入網銀時,便趁機偷取帳戶的名稱及密碼。隨着雙重認證流行,黑客即見招拆招,將病毒Zeus升級,並製作出能夠監視、轉發手機資料及機內短訊的智能手機木馬病毒ZitMo(Zeus-in-the-Mobile)

保安編碼器更安全

新型Zeus能夠收集手機號碼及型號,再以升級保安程式為名,傳送ZitMo至相關手機,誘使用戶安裝。當用戶下載後,黑客便能攔截手機的一次性短訊密碼進行商業犯罪。

網民arsh驚聞ZitMo後恍然大悟:「前一時段經常收到所謂手機升級短信(訊),估計就是這個目的(入侵手機)。」現時本港約有十五間銀行採用短訊雙重認證,涉及網上轉帳及繳費等服務,若黑客成功入侵網銀戶口,後果不堪設想。

國際網絡安全公司Fortinet網絡保安顧問吳維穎指,ZitMo的危險性在於它能令雙重認證系統形同虛設,「就算唔係直接偷晒戶口啲錢,都可以拎啲個人資料去(黑市)賣或者行騙。

事實上,雙重認證有多種方式,例如使用「電子證書」或「保安編碼器」,而吳坦言在三種認證方法中,短訊雙重認證的安全程度最低。

Android等平台失守

該公司網絡威脅應變小組高級經理Guillaume Lovet更指,已在亞洲及歐洲發現少量ZitMo案例,相信是病毒製造者正測試程式碼,又或正在攻擊特定目標。據了解,新型ZitMo已攻陷Android、Blackberry、Symbian及Windows Mobile等多個智能手機平台,並且具有類似殭屍網絡(botnet)的功能,即黑客可透過網絡遙控中毒手機攻擊其他手機,為禍更廣。

記者向本港部分銀行查詢,其中四間銀行發言人指,除短訊雙重認證外,尚有其他保安措施以提高網上交易的安全性;其中一間將推出保安編碼器,取代短訊雙重認證。香港金融管理局發言人表示,局方已要求銀行加強保安,但目前未有收到網銀保安系統被上述木馬病毒攻破的報告。

香港專業教育學院(屯門)資訊及通訊科技系系主任梁秉雄稱,黑客確能以木馬病毒「偷取」短訊,惟要毫無破綻則較為轉折,需要一定技術。他提醒市民應注意手機有否不正常資料傳輸,及避免安裝可疑程式。

木馬病毒攻破雙重認證,網上銀行用戶的存款隨時凍過水。
本港不少網上銀行均有採用雙重認證系統。
黑客攻破雙重認證流程
以Zeus收集網銀帳戶及用戶手機資料。
誘騙用戶「升級」保安程式,傳送ZitMo入侵手機,偷取帶有密碼的短訊。
繞過受害人,入侵帳戶。

方便會照用
董小姐(社會服務):「本身有用(短訊雙重認證),知道有呢隻病毒都有啲擔心,不過網上銀行實在好方便,所以都會照用。」

吳先生(保險):「知道乜嘢係短訊雙重認證,本身都覺得(網上銀行)幾安全,依家有呢啲病毒以後會小心啲。」

Wednesday, February 29, 2012

免費apps暗蒐私隱 允偷拍截聽 fb擅閱短訊 憤怒鳥查通話對象


免費apps暗蒐私隱 允偷拍截聽 fb擅閱短訊 憤怒鳥查通話對象
明報 – 2012年2月28日星期二


【明報專訊】英國傳媒揭發不少智能手機的免費或廉價apps使用條款,隱藏泄露私隱的陷阱,一旦答允條款,就會授權程式開發商蒐集用戶個人資料和照片,甚至調查行蹤和通話對象等。例如facebook及雅虎的使用條款,就允許查閱用戶的手機短訊,而YouTube及Flickr更可隨時遙控用戶的手機拍照拍片。有部分apps理論上還准許截聽電話或在用戶不知情下打收費電話。


http://easss.com/cell




facebook:測試用途 資料無交第三者
《星期日泰晤士報》調查英國50個流行Android apps(應用程式),發現其中6個,包括社交網facebook及Badoo、Yahoo!Messenger和照片分享網站Flickr,在Android apps使用條款中,授權開發商閱讀用戶儲存於手機或SIM卡的短訊。其中fb的條款,要求用戶准許fb接收、處理、撰寫及閱讀短訊。fb回應時強調,雖然徵求了用戶授權,但目前僅限於測試用途,並未閱讀過大多數用戶的短訊,亦沒有將有關資料轉售第三者。雅虎及Flickr則稱,此做法是為了「安全要求」。Badoo則表示,只會查閱與SMS付款系統相關的短訊。


七成人下載不讀條款
該報調查指出,七成手機用戶很少或未有閱讀apps使用條款,就同意下載。iPhone一些apps的用戶條款,更長達1.7萬字,相信絕少人會仔細閱讀。部分公司有時更會未經授權擅取資料,例如twitter承認其iPhone app在用戶不知情下,會複製用戶手機的電話簿。


允開發商擅自打電話
報道又稱,受歡迎遊戲憤怒鳥亦會調查用戶身處的位置及通話對象。部分小規模開發商的apps更會截聽電話,例如Tennis Juggling Game經用戶授權後,可透過截聽用戶打出電話,將等候鈴聲變成廣告;即使用戶關閉程式,它仍會繼續截聽。開發商稱,新版本已刪除有關條款。


Justin Bieber Droid Wallpapers app的條款就更離譜,除追蹤用戶位置、監察全部網上瀏覽資料、識別用戶的電郵及fb帳戶,更可擅自打電話。報道發現,在50個受查apps中,有8個容許開發商打電話。專家警告,部分apps可能在用戶不知情下打貴價收費電話。


負責Android平台的Google回應稱,他們的下載系統,有提醒消費者每個app可能取用客戶什麼數據,客戶要在同意後才能下載。但業界專家指出,很多apps只是軟件開發商的掩飾工具,真正目的是蒐集大量個人資料。部分資料會被轉售廣告商,令用戶收到大量垃圾信息和廣告。雖然資料轉售時,用戶姓名會被隱去,但專家認為被蒐集的資料太大量,仍可能令用戶身分曝光。

Friday, February 3, 2012

智能手機以短訊或電郵收取備有條碼的手機電子登機證


手機嘟一嘟 數秒辦好登機
星島日報 
2/04/2012


(綜合報道)(星島日報報道)繼電子登機證後,本港機場上月再推嶄新服務,市民只需透過智能手機,以短訊或電郵收取備有條碼的手機電子登機證,直接到離境閘口,如「嘟」八達通卡般,掃描手機登機證,即可入閘,較原來手續省時三成。機管局表示,現有九家航空公司提供相關服務,料每日最少有百分之二旅客選用。


  以前乘搭飛機,乘客需預早一至兩小時到機場櫃位辦理登機手續,領取列印出來登機證及機票,後來陸續被電子機票取代。為再進一步節省旅客時間及減少浪費紙張,外地不少航空公司已推出環保電子手機登機證,持手機直接到離境閘口進行登機程序,毋須到櫃位辦理。


  網上辦手續 收電子條碼


  本港國際機場去年中開始進行有關測試,至上月正式推行電子手機登機證,現時已有九家航空公司參與,包括國泰、港龍、阿聯酋、英航、法航、達美、漢莎、荷蘭皇家及美國航空公司


Zuji Hong Kong 


乘客於相關航空公司網站完成網上預辦登機手續後,可選擇以短訊或電郵,接收備有條碼的手機電子登機證。


  無行李寄艙的乘客,可直接憑手機顯示的登機證條碼,在閘口掃描器上如「嘟」八達通卡般,通過安全檢查及出境櫃枱,「嘟」手機過程不足幾秒。


  有寄艙行李的乘客,只須提早四十五分鐘於自助登機站辦理好寄艙手續,再「嘟」手機進行登機程序。


  籲乘客提早「開機」
  機管局客運大樓運作助理總經理郭永強表示,透過手機電子登機證,市民辦理登機手續時間可快三至四成,但呼籲乘客提早「開機」,「測試時有乘客行到去閘口才打開手機,再下載登機證,我們會建議乘客到閘口前,在手機預備好登機證。」


  香港機場每日有七萬五千人次出境,參與計畫的航空公司客量佔逾半,他預計日後有百分之二,日均約一千五百名旅客會使用新的手機登機服務。


  新服務可節省紙張,亦能提升登機效率,郭透露,新加坡航空未來將引入手機登機服務,估計吸引更多乘客使用,機管局會不時更新系統配合需求。現時出境櫃位已增加五十三部掃描器,海天客運碼頭亦有類似設施,整項計畫耗資一百六十萬元。