沃通(WoSign)数字证书
EmailGoogleTwitterFacebook

看不见的小偷

当智能手机能做越来越多的事情时,网络即生活。

我们习惯于在网络上寻找信息,热衷于通过网络交流,痴迷于网络上的游戏,惊叹于网络支付的方便,即便行走到哪里,也会拍点照片,发点感慨,再将行踪发在网络上。

人们沉溺于此,却没几个人意识到,危机正在逼近。

最近,一款名为“窃听大盗”的软件让人们略感恐慌,这个由代码写成的小东西神通广大,它可以入侵并控制你最得意的工具—手机,窃取其中的各种信息,偷走钱财,遥控手机录音、拍照再通过网络传走……

实际上,这款软件只是诸多窃贼中的一个,这些窃贼神出鬼没,让所有的隐蔽在不经意间变得透明,每一个衣冠楚楚的手机用户,在这些窃贼面前,都可能是在裸奔。

现代快报记者 孙玉春

  窃贼

潜伏手机 监视用户

市民黄女士被最近的一则新闻吓出一身冷汗,这则新闻来自于中央电视台,新闻讲的是“窃听大盗”。

新闻里,手机安全专家给3位志愿者每人发了一部智能手机,在使用一段时间之后,安全专家对志愿者进行了回访。安全专家向3位志愿者出示了几张照片,照片中竟然将3位志愿者经常使用手机的准确地点、所住地点的周围环境和志愿者的容貌记录得一清二楚。其中包括志愿者躺在床上的照片也收录其中……

让人觉得恐怖的是,这3部手机几乎没有被用过。

据了解,这些手机中被安装了“窃听大盗”,这种“木马”隐蔽性很高,可以通过多种方式启动执行窃听,而且,由于它隐藏了启动图标,受害者即便是发现了不对劲,也无法正常卸载。

可以想象这样的场景:你发现可能被监听了,正在满头大汗地想要抓出这个窃贼,网络另一头的人,却正在向你的手机中发送各种指令,“窃取短信、通讯录、密码,窃听通话,启动摄像头……”

而且,“窃听大盗”也在进化,它可以伪装成淘宝等141款热门应用的外表,而且,可以随时截取手机屏幕,这当然也包括在进行手机支付时的手机屏幕。

这无疑让人毛骨悚然。

“以前听说过手机泄密,但从未想过离它这么近。”黄女士厌恶地看了一眼手中的智能机,“这简直是个手雷。”

不过,在业内人士看来,这比手雷可厉害多了,它可以让人一无所有,也可以让人身败名裂。

木马猖獗 无孔不入

“木马”这个名字来源于古希腊传说中的“特洛伊木马”,只有中招之后,才可能体会这个词语命名的传神,“这玩意真是无孔不入!”

时常听到这样的新闻,“用了某地的免费无线网络,手机被种木马了。”

东南大学信息科学与工程学院博士生王小明说,目前出现了一种新的入侵个人电脑和智能手机的方式,某地黑客设置了另一个免费的虚假WIFI,用户在进入某个有公共WIFI的场所上网时,误接入黑客的无线网络,黑客通过技术手段,把用户的数据收集破解。

“这其实也相当于你在不知情的情况下,把家门打开,或者把钥匙交给了一个陌生人。”王小明解释说。

实际上,“交出钥匙”的情况还有很多。

很多是伪装成比较热门的游戏、应用、工具之类,引诱用户主动下载。还有的是在将手机借给陌生人后,被对方安装。另外,还有点击访问了恶意网址或扫描了不安全的二维码,也可能被直接下载安装窃听软件。

如2月份网秦截获的“假面谷歌”病毒,伪装成谷歌应用商店,诱骗用户下载安装,然后入侵。

五花八门 防不胜防

据网秦“云安全”监测平台数据统计,2014年第一季度查杀到手机恶意软件共计41199款,同比增长63.9%;感染智能手机共计1784万部,同比增长71.5%。

从感染病毒特性来看,2014年第一季度,诱骗欺诈类病毒以48%的比例位列第一,主要危害是诱骗用户下载安装,进行广告推广。而恶意扣费和资费消耗类分别以17%、8%的比例位列第二、第三,相较2013年均有所下降。

安卓“Android”平台依然是手机恶意软件感染的重点平台,感染比例为96%。

此外,移动支付安全和隐私安全问题日益受到重视。虽然移动支付类的病毒数量并不是很多,但这些病毒的攻击技术和方法较为复杂,防范起来难度较大,主要危害是窃取用户账号信息和支付密码。

各种基于地理位置的推销短信、某知名网站用户信息泄露等事件的发生,使手机隐私安全问题也受到用户的高度重视。

丢失

最普通的是个人信息丢失

其实木马并非是现在才有的,但手机上的木马和恶意软件,危害性要比电脑上大得多。

北京网秦天下科技有限公司媒介策划主管夏然介绍,中国智能手机的用户早已过亿,而且有报告称,用手机上网的人比用电脑上网的人已经多出一大截。

目前的情况是,很多人是以前没有接触过智能手机的,一下子就换到智能手机,不太了解其功能,所以容易上当中招。也就是说,智能手机用户在暴增,“菜鸟”也不少。

智能手机和以前不一样的是,智能手机能做的事情更多,所包含的信息也更多。

“几乎所有人都会把家人的号码、电商APP、手机银行都放在手机上,一旦出问题,全都丢了。”有人这样担忧。

最先被窃取的,就是个人信息。

2013年,南京30多万条高考考生信息泄露,成为一时的热点新闻。

到一家银行工作以后,为了推销贷款,犯罪嫌疑人小刘向人购买了大量的南京市中小学生信息和当年的高考考生报名信息,这些信息包括学生的学校、班级、姓名,家长的手机号码。

接到家长报警后,南京警方迅速破案,发现涉及到当年高考报名考生的有364677条,经江苏省教育考试院核对,匹配率为92.30%。

这些信息从何而来?不少人都认为,从手机网络中,它们才能被轻易窃取。

你的习惯正在被人观察

如果说个人信息被盗只是初级阶段的话,现在的你,可能正在被人仔细观察。

“比如说上网习惯、购物习惯,甚至回家的路线、爱好的食物。”王小明说,在网络上,每一个人的行为都有迹可循,对于轻松进出手机的黑客来说,把这些信息串联起来,也不过就是分分钟的事情。

这样具体的信息被卖给商家,商家就可以掌握你的性格和习惯。

“比如你生某种病,搜索该病的特征、治疗的手段等,其实这种信息可能已经被收集了,也许以后网络公司就会在你的页面上推销某种药品。”王小明说。

“要是被合法的公司掌握还好,万一被不法分子利用,可能你的隐私就暴露了。”“而如果获取了一个人完整的信息,很可能是可以取代你的。”王小明说,这样一来,肯定是有风险的。不仅可能面临敲诈,还包括一些财产的安全。

防护

利益驱动 目标侵财

6月20日晚上的央视“焦点访谈”,报道了两起涉及手机病毒的侵财案例。今年5月份,深圳市公安局接到报警,市民周先生称,他的手机收到一条优惠信息,提示安装软件,安装完成打开后他发现就是一个“普通”的购物网站客户端,要求他按照提示登记信息。可是他登记了两遍银行卡卡号和密码信息,手机都显示信息不正确。

他觉得不对劲,就赶紧查询自己的银行卡,发现里面的1800元钱已经没有了。据深圳警方介绍,从去年夏天该市公安局开通网上欺诈投诉热线以来,已经有174起报案,涉及资金300多万元。随后软件工程师还专门进行了一个实验,让使用者安装一个短信收到的“建行助手更新”,按照短信中的链接打开后填写个人资料,但是与此同时,工程师的手机上同步接受信息,使用者安装时,工程师的手机短信就接到消息“我安装程序了”,随后还传来了所有的个人注册信息包括身份证号、卡号和密码。

此外,苏州的张女士也接到了一个莫名其妙的短信,“这是你做的坏事的照片,太恶心了吧。”张女士点开后,发现是一封邮件,就没在意,但过了几天,银行卡上的4万多元不翼而飞,而且无任何提示。

张女士赶紧报警,她无奈地表示,自己的两张卡本身没有开通网银和手机支付等,想不通钱是怎么被转走的。

经过苏州市公安局园区分局网警检查,发现其手机上有一种“APK”木马病毒,一点击就安装。而且手机中毒之后,黑客还可以截获短信,并在其手机上开通第三方快捷支付,通过分析其以往短信中的一些信息获取了张女士的姓名、卡号、预留手机号等,然后截获第三方支付平台的动态密码,实现了千里之外窃人钱财的目的。

自我预防 定时升级

网秦的夏然表示,首先,用户要有一个良好的自我预防的意识,不要随意下载,尽量选择官方渠道,比较大的应用商店如百度应用商店,下载来源保证安全,而在下载的同时,用户可通过手机安全软件对其进行安全检测。

用户不要去一些小的第三方用户商店,或者一些手机论坛下载,黑客会通过在真的软件内插入一些恶意代码,或起个名如“某某破解法”等,诱惑用户下载。

用户要安装专业查杀软件,并且定时更新病毒库,对手机进行全面的查杀体检。

用户不要随意点击不明链接:黑客经常利用发送电子邮件、垃圾邮件或短信等方式在手机上安装间谍软件,从而窃取或“钓鱼”手机内的信息。所以用户在收到不明链接或网上购物时,一定要注意发信人和账号验证信息,如果不确定或未收到,需要警惕!

王小明表示,现在应该有一种意识,“涉密不上网,上网不涉密”,对于一些非常隐私的信息,一定要有充分的保护意识。

夏然说,现在防护也发展得很快,去年就改善很多了。但现在黑客也变得更隐蔽,伪装更深,对手机安全厂商来说查杀也提高了难度。

探讨

  法律已经存在

技术尚不够完善

南京大学法学院教授邱鹭风认为,对于网络犯罪、计算机犯罪等,目前都是有相应的法律规定的。

比如涉及到盗取他人信息的,有《侵权责任法》等,牵涉到诈骗、盗取钱财的,在《民法》上就是不法侵占,在刑法上则可能是盗窃或者信用卡诈骗等。此外,关于入侵计算机系统等,全国人大常委会也有过专门的决定。

此前也有人提出,对于计算机网络信息安全犯罪问题,目前我国的法律条文是比较分散的。这方面的法律还不完善,有点跟不上形势变化。

对此,邱教授认为,这不是说没有法律,是技术犯罪防不胜防。应该说这些年也打击了很多犯罪分子,但是利用计算机网络犯罪的数量太多,而且这不是法律空白的问题,是怎么去理解和解释法律、适用法律。其实该立的法基本上都有了。从某种意义上说,这不是法律问题,是个技术问题,要对技术人员建立一个价值规范,以及建立起事后的打击体系等。

江苏钟山明镜律师事务所的许辉律师表示,刑法上对于这一块的犯罪都有相关规定,情节轻的,就按照《治安处罚法》的规定进行行政处理等。

但是目前黑客比较隐蔽,侦查难度比较大。

总体来说,目前因这方面被处罚的人相对较少,这与市民维权的力度和难度都有关系,比如侵犯个人隐私,属于民事侵权问题,被侵权方可以提起民事诉讼,但问题是首先要知道侵权人,而很多黑客是隐身的,在没有达到公安机关一定立案标准的情况下,要查找到黑客就很难。

对于网络隐私权,目前学界有三种观点:

第一种观点认为网络隐私权是一种财产权,持此观点的学者认为,网络用户应享有对其基本数据信息的所有权。

第二种观点认为网络隐私权兼具无形财产权和人格权的双重属性。这部分学者认为在网络社会中,个人数据具有经济价值,所以认为这种权利应兼具人格权与财产权的双重属性。

第三种观点认为网络隐私权是传统隐私权的一种新的表现形式,是隐私权在网络环境下的延伸,仍然属于人格权的范畴。

发表评论