央視曝光移動支付詐騙：掃下二維碼就中木馬

每周質(zhì)量報告——誰動了我們的支付寶

【演播室】

共同打造高質(zhì)量的生活，歡迎收看《每周質(zhì)量報告》。有統(tǒng)計數(shù)據(jù)顯示，截止到2013年12月，我國的網(wǎng)購用戶已經(jīng)超過3億人，網(wǎng)購零售市場交易額達(dá)到1.8萬億元以上。而隨著網(wǎng)絡(luò)購物規(guī)模的不斷擴(kuò)大，網(wǎng)絡(luò)支付的應(yīng)用范圍也越來越廣泛，隨之而來的安全性問題也就越來越引人關(guān)注了。那么您的網(wǎng)絡(luò)支付賬戶到底安不安全呢？針對這個問題我們的記者展開了調(diào)查。

【正文】

上海的余小姐在當(dāng)?shù)匾患医ú某墙?jīng)營著一個鋁合金門窗店鋪，為了拓展銷售渠道，從去年年初開始，她在淘寶網(wǎng)開設(shè)了一家網(wǎng)店，開始把自己店里的門窗產(chǎn)品放到網(wǎng)上銷售。自從開了網(wǎng)店以后，店里的銷售增加了不少，這讓余小姐非常高興。可是去年年底她在自家網(wǎng)店上卻經(jīng)歷了這樣一件怪事。

【同期】余小姐

他就說我要買的東西呀，像那個圖片啊，實物啊，尺寸啊都在這個二維碼里面，叫我用那個手機(jī)掃一下看就能知道了

【正文】

余小姐想都沒想就將那個二維碼掃進(jìn)了自己的手機(jī)里，可是，就在她掃碼以后，手機(jī)里卻沒有看到那位買家所說的相關(guān)信息。

【同期】余小姐

我就跟他說我說我什么都看不到，他就說那你把你的電話給我，我跟你本人聯(lián)系，我當(dāng)時也沒有多想，我就把另外一個手機(jī)號就不是我的，我就發(fā)給他了，他說我要專門跟你聯(lián)系。我說那行，我又把我的手機(jī)發(fā)給他了 ，但是過了段時間之后，他沒有跟我聯(lián)系。

【正文】

可就在余小姐吃飯回來以后發(fā)現(xiàn)，用自己的手機(jī)怎么也登錄不進(jìn)自己的淘寶帳號了。

【同期】余小姐

首先是我的手機(jī)來看，手機(jī)密碼我登進(jìn)去，怎么也就說我手機(jī)密碼錯誤不正確，我就有點納悶了我說是不是被人盜了，我當(dāng)時有這疑慮了，我就馬上登到我的那個電腦上去看，因為電腦是不需要的，因為就網(wǎng)銀是打開的，我沒有關(guān)電腦，當(dāng)時我進(jìn)去一看，我的三千塊錢沒有了，我當(dāng)時就感覺受騙了。

【正文】

讓余小姐沒有想到的是，不僅僅自己支付寶賬戶里的余額被全部轉(zhuǎn)走了，另外一張和支付寶綁定的銀行卡中也有兩千元被轉(zhuǎn)走了。

短短不到一個小時的時間，余小姐就損失了五千塊錢，這讓她驚慌失措。她在凍結(jié)銀行卡的同時，第一時間向派出所報了案，同時也和支付寶公司取得了聯(lián)系。

支付寶公司的技術(shù)人員在分析了余小姐的經(jīng)歷之后，認(rèn)為導(dǎo)致余小姐支付寶賬戶被盜的原因，就出在那個奇怪的二維碼上。

【同期】支付寶公司安全工程師

她就用手機(jī)去拍了這個二維碼，導(dǎo)致這個手機(jī)上面中了一些相關(guān)的木馬病毒，那其實這個木馬，最大的作用是將您收到的所有的短信同時轉(zhuǎn)發(fā)到盜用者的那個手機(jī)上面。

【正文】

二維碼怎么會成為盜取支付寶賬戶的工具呢？為了弄清楚余小姐的支付寶賬戶到底是怎么被盜的，記者找到另外一名網(wǎng)絡(luò)安全工程師，這位工程師證實，二維碼確實有可能幫助不法分子盜取用戶的相關(guān)信息，從而盜取支付寶中的錢財。

【同期】網(wǎng)絡(luò)安全工程師 張浩然

一掃我們看到現(xiàn)在出來一個鏈接，如果你點擊之后，它就會下載一個手機(jī)軟件，你點安裝，實際上就是把木馬給安上了，我這個手機(jī)現(xiàn)在是已經(jīng)安裝完木馬了，就是一個短信竊取的木馬，然后呢現(xiàn)在呢我現(xiàn)在手里有兩臺手機(jī)，這臺Iphone就可以看作是黑客的手機(jī)，實際上是這個木馬盜取的這個手機(jī)的所有短信，都被轉(zhuǎn)到這臺Iphone上了。

【正文】

記者隨后往安裝了木馬程序的手機(jī)上發(fā)送了一條內(nèi)容為“中央電視臺節(jié)目測試”的短信，隨后發(fā)現(xiàn)不僅這臺手機(jī)接收到了相關(guān)信息，被設(shè)定為黑客手機(jī)的Iphone上也顯示接收到了記者發(fā)來的短信息。

【同期】網(wǎng)絡(luò)安全工程師 張浩然

實際上就是你的短信被他監(jiān)控了，你這臺手機(jī)收到的短信會被它以短信的形式轉(zhuǎn)發(fā)到黑客的手機(jī)上，就這臺Iphone，然后如果他用你的手機(jī)號或者以你的其他的個人資料去申請重置一些支付賬戶的密碼，這些驗證短信都會被轉(zhuǎn)到他的手機(jī)上，就非常危險

【正文】

事實上，在支付寶的轉(zhuǎn)賬或者交易過程中，用戶必須要用到支付寶的登陸密碼和交易密碼，這兩大密碼屬于絕對隱私，不法分子一般不大可能知曉。但是，他們在獲取了用戶身份證信息和與支付寶賬戶綁定的手機(jī)號碼信息后，卻可以利用支付寶找回密碼的功能重置用戶的這兩大密碼，這就是不法分子在余小姐掃描二維碼后還問她要手機(jī)號碼的原因。隨后，不法分子再通過惡意二維碼種植木馬程序，就能截獲在找回密碼過程中本應(yīng)發(fā)到用戶本人手機(jī)上的驗證碼，從而輕而易舉地修改用戶的兩大密碼，在用戶不知情的情況下將支付寶里的余額轉(zhuǎn)走。由于登陸密碼已經(jīng)被不法分子修改，所以后來余小姐發(fā)現(xiàn)異常后登陸不進(jìn)自己的支付寶賬戶。但是，不法分子究竟是怎么獲得她本人身份證、手機(jī)號這些隱私信息的，余小姐百思不得其解。

【同期】支付寶公司安全工程師

還可能會分成AB角，就是A角來引導(dǎo)你安裝手機(jī)木馬，那B角在過程中會以另外一個比如說假顧客的名義，我沒有支付寶那我可能是需要通過銀行給你轉(zhuǎn)賬的，麻煩你把銀行的卡號的信息給到我，那么我給你轉(zhuǎn)賬，然后馬上會跟著來說，銀行要求我提供那個被轉(zhuǎn)賬人的身份證號碼，麻煩你把身份證號碼給到我，會有這樣的一個行為，那么另外一個也有可能就是說，個人的一些信息，包括名字啊，身分證號碼已經(jīng)出現(xiàn)過泄露，那可能再通過互聯(lián)網(wǎng)的一個整體的一個黑市上面會有一些相關(guān)信息做匹配的一些資料庫，可以去做一些搜索，所以可能會是在這些環(huán)節(jié)出現(xiàn)了一些相關(guān)的泄露。

【正文】

目前，支付寶賬戶被盜的用戶遠(yuǎn)不止余小姐一人，對于這些情況，支付寶公司也并不否認(rèn)。不過，他們認(rèn)為，只要用戶在使用過程中提高安全防范意識，防止重要隱私信息的泄露，賬戶被盜的風(fēng)險則會降低很多。

【同期】支付寶公司安全工程師

風(fēng)險發(fā)生率應(yīng)該是在十萬分之一左右，那這個過程中我們沒辦法去擔(dān)保100%所有的用戶的支付寶全部是安全的，我們現(xiàn)在大多數(shù)遇到的這些問題其實用戶本身的安全意識比較低下所以會產(chǎn)生一些包括像個人的信息泄露也好，包括像收到的手機(jī)短信校驗的這種相關(guān)的一些核心的信息，出現(xiàn)了相關(guān)的泄露

【正文】

此前采訪的一位工程師告訴記者：類似惡意二維碼這樣的木馬鏈接，雖然不容易被察覺，但只要多加注意，不隨便掃描來源不明的二維碼，手機(jī)被種植木馬的幾率還相對較小。而另外一種利用偽基站詐騙的方式則是將帶有惡意鏈接的短信偽裝成銀行、電信的常用客服號碼發(fā)送，通過誘騙用戶點擊相關(guān)鏈接，上當(dāng)安裝木馬，由于具有極大的隱蔽性和欺騙性，一般人很難防范。

隨后，記者在調(diào)查過程中與專家一道發(fā)現(xiàn)偽基站發(fā)送的短信號碼竟然可以隨便定義。

【同期】 網(wǎng)絡(luò)安全工程師 張浩然

你的手機(jī)走進(jìn)我這個信號范圍之內(nèi)，就會被這個偽基站吸進(jìn)來，我這會顯示你的手機(jī)這就是你的設(shè)備，然后我可以自己定義你的設(shè)備，比如我把你這臺手機(jī)Iphone定義成12300，然后我把這個我這臺設(shè)備定義成95588，然后我可以給你選擇給你發(fā)什么短信。

【正文】

將每臺設(shè)備的名稱定義好了以后，工程師編緝了一條內(nèi)容為“工行電子密碼器即將失效，請登入某某網(wǎng)站升級維護(hù)的”的短信，并發(fā)送給了記者的手機(jī)，就在他將電腦上的確認(rèn)鍵按下的同時，記者的手機(jī)收到了這條短信。而短信的來源上赫然顯示是95588，也就是我們?nèi)粘Ｊ熘墓ば锌头柎a。

偽基站不僅僅能偽裝成熟悉的客服號碼發(fā)送短信誘騙用戶上當(dāng)，而且，只要手機(jī)處在偽基站的控制范圍，電話號碼的來電顯示都可以在和偽基站相連的電腦上隨意設(shè)置。

【同期 】 網(wǎng)絡(luò)安全工程師 張浩然

我現(xiàn)在把你這個手機(jī)號給定義為12300了，我現(xiàn)在手里的這個手機(jī)定義的是95588，然后現(xiàn)在我給你撥一個電話我們看一下是什么顯示，看其實是我給你打電話，但你那顯示的是95588。一般的如果要是你比較熟悉這個官方的號碼你會比較信任，如果你要沒有看出來這個內(nèi)容有一些蹊蹺或者你沒跟它客服確認(rèn)的話，就很容易中招。

【演播室】

無論是通過惡意的二維碼掃描，還是通過偽基站發(fā)送假冒銀行客服短信，不法分子的目的都是誘騙用戶安裝木馬程序，從而控制你的手機(jī)、獲取你的信息，進(jìn)而盜取你網(wǎng)絡(luò)支付賬戶當(dāng)中的錢財。現(xiàn)在啊，智能手機(jī)也在不斷普及，移動支付憑借快捷和便利的優(yōu)點，受到越來越多用戶的青睞，但是在調(diào)查中記者卻發(fā)現(xiàn)，這種新興的移動支付也同樣面臨著安全隱患。

【正文】

無論從余小姐離奇的經(jīng)歷，還是記者調(diào)查中發(fā)現(xiàn)的惡意二維碼和偽基站誘騙用戶上當(dāng)?shù)倪^程，我們都不難發(fā)現(xiàn)，不法分子費(fèi)盡心機(jī)，最終的目的就是為了誘使用戶在手機(jī)上安裝木馬程序，從而截獲得用戶手機(jī)所接收的和支付相關(guān)的驗證短信。現(xiàn)實支付過程中，驗證短信就相當(dāng)于一把開啟移動支付的“安全鑰匙”，有了它，綁定銀行卡、修改密碼、確認(rèn)支付等等繁瑣的流程都可以通過一個帶有驗證碼的短信輕松得以實現(xiàn)，但是，這把“安全鑰匙”的防范功能真的有那么強(qiáng)大嗎？在調(diào)查中，記者和專家發(fā)現(xiàn)，一些平時常用的應(yīng)用軟件就存在著將驗證短信這把“安全鑰匙”泄露的風(fēng)險。

【同期】移動支付安全專家 李曉東

這個程序可能是你實際安裝的一個游戲，或者是任何一個應(yīng)用軟件，這些應(yīng)用軟件呢，它可能提取你的短信信息，你的聯(lián)系人信息，等等這些信息，但是呢這些信息的隱私呢，你并不知道它提取到什么程度，意味著什么比方說我們往另一部手機(jī)發(fā)一個支付確認(rèn)密碼，好，發(fā)出去了，這部手機(jī)呢收到新的短信了，收到這個支付短信了，好，我的支付密碼是123456，那這是在我手機(jī)里面收到的這個短信信息，那我回到我的應(yīng)用，這個演示的應(yīng)用程序里邊，那這個短信呢我激活，那么顯示的我的這個支付密碼是123456，也就是說我的這個應(yīng)用是可以抓到你所有的這個支付短信，我是知道你的支付密碼的。

【正文】

專家告訴記者，只要手機(jī)安全軟件提示有讀取用戶隱私行為的各種應(yīng)用軟件，理論上都能看到手機(jī)上的短信、聯(lián)系人等重要的隱私信息，只不過看這些軟件的開發(fā)商用不用于非法用途罷了。專業(yè)人員指出，這種提示在大多數(shù)的應(yīng)用軟件安裝時，手機(jī)安全防護(hù)軟件都會有提醒，只不過幾乎沒有用戶會在意。而從目前的手機(jī)支付軟件本身來說也存在一定的安全漏洞。

【同期】移動支付安全專家 李曉東

目前呢我認(rèn)為主要的這個安全隱患有兩個方面，第一方面是手機(jī)本身是不安全的，很多用戶對手機(jī)的不安全是未知的，很多這個風(fēng)險是他不知道的，第二個方面，是本身在支付流程上不完善，我們現(xiàn)有的流程僅靠短信碼完成跟自己的卡綁定，來完成金融產(chǎn)品的購買，那這個我認(rèn)為是一個比較大的漏洞

【正文】

雖然目前看來，要完成一次在移動支付端的賬戶盜刷，僅僅依靠手機(jī)驗證碼還不夠，其他如身份信息、手機(jī)信息等需要同時被掌握才能成功實施，但這些重要信息的獲得也并非難事，因此，手機(jī)短信驗證碼盡管有其安全認(rèn)證的作用，并且簡單、方便、快捷，但它容易被竊取的漏洞也不容忽視。

事實上，移動支付能得以實現(xiàn)，主要是在用戶、第三方支付平臺和銀行之間形成了一個的通路，在這個通路的三個主要方面中，銀行和第三方支付平臺之間由于是通過銀行特許的專線接口來進(jìn)行連接的，外界基本上是沒有辦法侵入，但在第三方支付平臺和用戶之間的認(rèn)證，則一般通過身份認(rèn)證、密碼認(rèn)證和短信認(rèn)證以及預(yù)設(shè)問題認(rèn)證等方式進(jìn)行付款的安全認(rèn)證，一旦這些認(rèn)證被層層突破，用戶的資金安全將受到極大威脅。而在目前，如果要將PC機(jī)用來保證網(wǎng)銀支付安全的數(shù)字證書這項成熟技術(shù)移植到手機(jī)端，同時還要繼續(xù)保留移動支付簡單、方便的特性，在技術(shù)層面上還沒有新突破。因此，相關(guān)專業(yè)人士呼吁，作為第三方支付平臺，需要加強(qiáng)對異常支付行為的監(jiān)控。

【同期】手機(jī)安全專家 萬仁國

這個可能就需要企業(yè)自身去分析這些數(shù)據(jù)，到底那些是異常哪些不是異常的，就是既不影響用戶的使用，又能保證這個用戶的安全，用戶的信息除了說這個網(wǎng)站加強(qiáng)安全性以外呢，其實我們目前國家也在法律層面在加強(qiáng)，就是說禁止販賣個人的信息，那么在公司呢，或者說某些這個機(jī)構(gòu)里面，也要加強(qiáng)用戶資料的這么一個保管，防止說內(nèi)部人員利用手中的職權(quán)，將這個信息給販賣出去。

【正文】

與此同時，專家還呼吁廣大用戶，在享受移動支付帶來便利的同時，不要忽略其本身存在安全漏洞，一方面，需要嚴(yán)防重要的身份信息被盜竊或者是泄露，另一方面，也盡量只在將移動支付應(yīng)用于小額支付，避免大額資金被盜取。

【同期】移動支付安全專家 李曉東

如果進(jìn)行大額的這個轉(zhuǎn)帳，支付，最好還是在PC端來完成，而且在利用這個PC端，盡量利用跟銀行類似，或者這些專業(yè)機(jī)構(gòu)類似的這個支付的解決方案，來完成這個轉(zhuǎn)賬和支付。在目前的情況，目前盡量只維持在小額支付，而且呢最好是少捆綁自己的這個銀行卡。

【演播室】

現(xiàn)在有不少黑客專門針對網(wǎng)絡(luò)支付和移動支付的特點，不斷推出新的盜取用戶信息和錢財?shù)木W(wǎng)絡(luò)工具。面對這樣的現(xiàn)狀，專家一方面提醒消費(fèi)者，在使用網(wǎng)絡(luò)支付和移動支付工具的時候應(yīng)該更加謹(jǐn)慎，加強(qiáng)防范才能降低風(fēng)險，而另一方面網(wǎng)絡(luò)支付平臺和移動支付工具，也應(yīng)該把防范不法分子的攻擊，保護(hù)好用戶的資金安全放在更為重要的位置來考慮，提升自身的安全等級，給消費(fèi)者營造一個更為安全的網(wǎng)絡(luò)交易空間。好，感謝收看《每周質(zhì)量報告》，下周同一時間再見。