当心调研

当心!假10086发来诈骗短信 非法盗取200万元

冒充10086非法盗取近200万元——络安全漏洞调查

新华北京７月２３日电（罗政、阳娜、魏董华）只因为点击了显示为“１００８６”发来的“积分兑换现金”的链接，浙江省湖州市民钱先生的银行卡里近８０００元就被盗取了。近日，浙江警方破获的多起案例显示，通过短信等多种方式植入的木马程序和钓鱼链接，正威胁着用户的个人隐私和财产安全。

“新华视点”调查发现，随着移动互联的发展，络安全事件正呈高发状态，除了冒充“１００８６”等伪基站短信发的链接，类似“测一测你的前世”等一些有趣的应用链接，也可能藏有盗取用户个人信息的木马程序。

利用钓鱼链接获利数百万元

浙江市民钱先生的不久前收到一条显示为“１００８６”的号码发来的信息：“你的积分可以换取２７０元钱，可以上提现”，并附有址链接。“点进去之后觉得页面很正规，就按提示输入了姓名、、农业银行卡号和密码，但提交之后就再无音信了。”钱先生随后去农业银行查询，发现卡里的７９４８元已全部被提走。

据浙江警方介绍，钱先生的遭遇并非个案。在浙江警方查明的这起系列案件中，犯罪嫌疑人冒充中国移动客服１００８６，在浙江、重庆、江西、年内通胀压力不大湖南、广西等多地通过伪基站向用户发送“１００８６积分兑换现金”活动的链接，非法盗取近２００万元。在浙江警方破获的另外一起案件中，犯罪嫌疑人在不到一年多的时间里，利用短信等方式向受害人发送木马程序链接，尽管每位受害者的损失折合人民币只约１０００元，但案件数量众多，犯罪嫌疑人总计诈骗或窃取至少２５０万元。

浙江省公安厅警总队总工程师蔡林介绍，利用钓鱼站、木马ＡＰＫ程序侵害用户财产安全的案件不断发生。这类木马ＡＰＫ程序往往是通过短信链接、ＡＰＰ嵌入等方式进入系统。奇虎３６０旗下第三方漏洞响应平台“补天”公布的某钓鱼站的后台里，有５００多名受骗人的银行账号、号、姓名等个人信息，而且每天都以２０至３０条的速度更新。

还有一类木马程序仅以骚扰用户为目的。北京某事业单位的刘先生告诉，他的总是收到一些奇奇怪怪的链接，要求他安装各类ＡＰＫ应用程序，有时还推送包含不健康内容的视频或图片，“删掉了又来”，严重影响的正常使用。在不得已更换新后的第一个月，刘先生又发现话费骤然增加，致电运营商客服才发现，他的号莫名开通了包括多款报在内的增值服务，加起来达１００余元。

专业人士表示，刘先生后来遇到的这种情况，很可能就是通常所说的“恶意吸费软件”，这也是目前最为普遍的移动安全问题之一。数据显示，在安卓智能终端快速增长的２０１３年，我国平均每天有２７万人的安卓被恶意程序所感染，其中资费消耗和恶意扣费类程序的感染量最高，分别占到总量的５２％和２４％。“近年来，这类安全事件更是呈现高发态势。”蔡林说。

查分ＡＰＰ、“测测前世”等竟是钓鱼链接

调查发现，利用和移动互联应用程序的漏洞，盗取用户信息乃至获利的案件，其手法也在不断翻新。

－－利用热点事件，集中发送钓鱼站链接。比如，在高考结束后的一段时期，多地考生及家长收到了包含“高考查分ＡＰＰ”的短信链接；在Ａ股市场备受关注的情况下，“查看明日涨停股”等信息频频出现在一些用户上。近期还有不法分子将木马程序植入“优衣库”视频在络上传播。

奇虎３６０安全研究团队负责人宋申雷告诉，很多这类ＡＰＰ实际就是一个木马，只要用户点击下载安装，它就会在后台“安营扎寨”，“这就好比在里安装了一双眼睛，你在上的操作几乎一览无余，短信验证通知、银行卡密码、支付宝密码等都有可能被窃取。”

－－利用用户猎奇心理，暗中盗取个人信息。有着５亿用户的，被用户认为相对安全私密。然而随着各种嵌入到平台中的应用程序越来越多，一些潜藏信息泄露风险的应用也逐渐增多。比如，“测测你的前世是什么人”等小应用程序就通过平台广泛传播。

上海市用户郑先生说，出于好奇点开链接，测出自己前世是“老鸨”