央視曝光移動支付詐騙：掃下二維碼就中木馬

【演播室】

無論是通過惡意的二維碼掃描，還是通過偽基站發送假冒銀行客服短信，不法分子的目的都是誘騙用戶安裝木馬程序，從而控制你的手機、獲取你的信息，進而盜取你網絡支付賬戶當中的錢財。現在啊，智能手機也在不斷普及，移動支付憑借快捷和便利的優點，受到越來越多用戶的青睞，但是在調查中記者卻發現，這種新興的移動支付也同樣面臨著安全隱患。

【正文】

無論從余小姐離奇的經歷，還是記者調查中發現的惡意二維碼和偽基站誘騙用戶上當的過程，我們都不難發現，不法分子費盡心機，最終的目的就是為了誘使用戶在手機上安裝木馬程序，從而截獲得用戶手機所接收的和支付相關的驗證短信。現實支付過程中，驗證短信就相當于一把開啟移動支付的“安全鑰匙”，有了它，綁定銀行卡、修改密碼、確認支付等等繁瑣的流程都可以通過一個帶有驗證碼的短信輕松得以實現，但是，這把“安全鑰匙”的防范功能真的有那么強大嗎？在調查中，記者和專家發現，一些平時常用的應用軟件就存在著將驗證短信這把“安全鑰匙”泄露的風險。

【同期】移動支付安全專家 李曉東

這個程序可能是你實際安裝的一個游戲，或者是任何一個應用軟件，這些應用軟件呢，它可能提取你的短信信息，你的聯系人信息，等等這些信息，但是呢這些信息的隱私呢，你并不知道它提取到什么程度，意味著什么比方說我們往另一部手機發一個支付確認密碼，好，發出去了，這部手機呢收到新的短信了，收到這個支付短信了，好，我的支付密碼是123456，那這是在我手機里面收到的這個短信信息，那我回到我的應用，這個演示的應用程序里邊，那這個短信呢我激活，那么顯示的我的這個支付密碼是123456，也就是說我的這個應用是可以抓到你所有的這個支付短信，我是知道你的支付密碼的。

【正文】

專家告訴記者，只要手機安全軟件提示有讀取用戶隱私行為的各種應用軟件，理論上都能看到手機上的短信、聯系人等重要的隱私信息，只不過看這些軟件的開發商用不用于非法用途罷了。專業人員指出，這種提示在大多數的應用軟件安裝時，手機安全防護軟件都會有提醒，只不過幾乎沒有用戶會在意。而從目前的手機支付軟件本身來說也存在一定的安全漏洞。

【同期】移動支付安全專家 李曉東

目前呢我認為主要的這個安全隱患有兩個方面，第一方面是手機本身是不安全的，很多用戶對手機的不安全是未知的，很多這個風險是他不知道的，第二個方面，是本身在支付流程上不完善，我們現有的流程僅靠短信碼完成跟自己的卡綁定，來完成金融產品的購買，那這個我認為是一個比較大的漏洞

【正文】

雖然目前看來，要完成一次在移動支付端的賬戶盜刷，僅僅依靠手機驗證碼還不夠，其他如身份信息、手機信息等需要同時被掌握才能成功實施，但這些重要信息的獲得也并非難事，因此，手機短信驗證碼盡管有其安全認證的作用，并且簡單、方便、快捷，但它容易被竊取的漏洞也不容忽視。

事實上，移動支付能得以實現，主要是在用戶、第三方支付平臺和銀行之間形成了一個的通路，在這個通路的三個主要方面中，銀行和第三方支付平臺之間由于是通過銀行特許的專線接口來進行連接的，外界基本上是沒有辦法侵入，但在第三方支付平臺和用戶之間的認證，則一般通過身份認證、密碼認證和短信認證以及預設問題認證等方式進行付款的安全認證，一旦這些認證被層層突破，用戶的資金安全將受到極大威脅。而在目前，如果要將PC機用來保證網銀支付安全的數字證書這項成熟技術移植到手機端，同時還要繼續保留移動支付簡單、方便的特性，在技術層面上還沒有新突破。因此，相關專業人士呼吁，作為第三方支付平臺，需要加強對異常支付行為的監控。

【同期】手機安全專家 萬仁國

這個可能就需要企業自身去分析這些數據，到底那些是異常哪些不是異常的，就是既不影響用戶的使用，又能保證這個用戶的安全，用戶的信息除了說這個網站加強安全性以外呢，其實我們目前國家也在法律層面在加強，就是說禁止販賣個人的信息，那么在公司呢，或者說某些這個機構里面，也要加強用戶資料的這么一個保管，防止說內部人員利用手中的職權，將這個信息給販賣出去。