黑客偷钱新招:入侵手环解银行密码 电脑算验证码

通过利用手环的系统漏洞，黑客可以忽略手机，不经过配对校验就直接与用户的手环实现连接。

不仅是手机病毒可以盗取用户的支付密码等信息，甚至平时用于计步的智能手环，也可能由于被黑客放侵而泄漏用户的银行卡密码。

9月22日，由上海市经济和信息化委员会、上海市长宁区政府指导，上海市长宁区科学技术委员会、上海市信息安全行业协会等联合主办“虹桥‘互联网+’论坛暨第三届互联网金融科技风险与治理高峰论坛”举办，呼吁金融企业提高对黑客攻击和漏洞处置的重视程度。

安全专家、奇虎360网络攻防实验室林伟透露，智能手环等穿戴设备近年来越来越受到年轻人的欢迎，很多人想象不到，它也已经存在着让黑客入侵并掌握用户个人金融信息的安全隐患。通过利用手环的系统漏洞，黑客可以忽略手机，不经过配对校验就直接与用户的手环实现连接。这样不仅可以做出“清零手环步数”这样的恶作剧，甚至当用户戴着手环到ATM机输入银行卡密码时，黑客可以借助手环的运动传感器，依据手部动作的位置和幅度，远程分析出用户正在输入的密码。

除了传统金融业，正在兴起的互联网金融业因系统隐患和安全漏洞面临的威胁则更大。论坛透露了一组来自于互联网企业的统计数据。

据第一网贷发布的《2015年上半年中国P2P网贷指数、人气指数运行报告》显示，截止至2015年6月底，全国共有3547家P2P网贷平台，纳入中国P2P网贷指数统计的P2P网贷平台为2553家。另据网贷之家的统计数据，2015年8月份P2P网贷整体成交量达到974.63亿元，环比上升超过18%。同时，参与P2P网贷的投资人和借款人达到了204.28万人和54.94万人，参与人数大幅攀升。

与P2P的红火形成对比的是，从乌云平台最新发布的《2015年P2P金融网站安全漏洞分析报告》来看，自2014年至今，乌云平台收到有关P2P行业漏洞总数为402个，仅2015年上半年就有235个，上半年比去年一年增长了40.7%。2015年下半年截止至8月已收集到120个漏洞，其中高危漏洞更是高达56.2%。在报告的402个漏洞中，有可能影响到资金安全的漏洞就占据了漏洞总数的39%，2015年上半年影响资金安全的漏洞占43%，P2P资金风险呈现快速上升的趋势。

据专家介绍，密码重置环节是黑客利用最多的逻辑漏洞。一般密码重置都有输入用户名、验证身份、重置密码几个环节，由于验证身份一般都是通过发送4到6位的数字到用户手机或邮箱，相比破解用户本身的密码要容易得多，只要系统留出的验证码有效期时间足够长，黑客就可以利用计算机的高速运算能力猜解目标的口令密码，实现“爆破”，甚至还可以借助一些网站的系统漏洞直接修改数据，用自己的手机或邮箱代收用户验证码。

另据漏洞盒子发布的《2015上半年度金融行业互联网安全报告》显示，截至2014年底，已有近165家P2P平台由于黑客攻击，造成了系统瘫痪、数据被恶意篡改、资金被洗劫一空等灾难性后果。论坛透露，来自世界反黑客组织的最新通报，中国P2P已经成为全世界黑客宰割的羔羊，资金安全应当占据P2P行业安全的首要位置。然而，网络安全还没有被金融业、尤其是互联网金融业彻底地重视起来，互联网金融企业对黑客攻击和对发现的漏洞处置，重视程度普遍不够。

作者：蓝雨泪

来源：51CTO