二維碼或藏木馬病毒市民支付寶遭盜刷損失1萬

 

快捷的支付方式與便利的登錄過程支付寶最大的特點，而最近，全國接連發生了多起用戶掃描二維碼之后，支付寶的賬戶就被偷盜的案例。

 

像上海市民王先生就碰到了這樣的事兒，他沒有收到任何的短信提醒，支付寶和余額寶被悄無聲息的轉走了11000多塊錢，究竟是什么回事兒呢？咱們來看看記者的報道吧。“

 

王先生在淘寶網上經營著一家網店，17日下午，他收到一條陌生人發來的二維碼消息，并用手機掃描了一下，沒想到，半小時后，王先生存在余額寶上的8千多元就不翼而飛，賬戶密碼也被人篡改。此外，與支付寶綁定的銀行卡內有近3千元存款也被人轉走，王先生納悶，按理說，支付寶或余額寶的每筆支出都必須輸入支付密碼和手機校驗碼確認，但王先生從來就沒收到過校驗信息，錢怎么就被轉走了呢？

 

當事人王先生：“每支出一筆款，哪怕就一分錢，手機上（應該）要收到一個臨時的六位數密碼，然后你必須輸入這個密碼才行，但當時的話我是什么都沒收到。”

 

王先生的遭遇并為個案，就在上周，嘉興一位汪女士也報案稱，自己余額寶、支付寶以及與其綁定的銀行卡中共18萬元被騙子轉走，原因也是因為誤掃了一個二維碼，那么二維碼哪里究竟隱藏著什么秘密？專家分析，王先生和汪女士很可能中了隱身大盜手機木馬的毒，而這個隱身大盜就藏在他們掃描的二維碼中，中毒后，手機就像被劫持了一樣，不法分子會通過重置密碼的方式進而控制他人的支付寶賬戶。

 

復旦婓訊系統安全技術研究中心主任楊珉：”二維碼本身只是一個網址，但這個網址可能是指向了一個惡意軟件的下載地址，安裝完以后，這個軟件就會在終端上或者在手機上去模擬用戶操作支付寶賬戶的這樣種種行為，從而實現對賬戶內金錢的盜取。“

 

王先生不解的是，每個支付寶賬戶都設有密碼，重置密碼也需要收入驗證碼，為什么自己的手機也沒有收到呢？專家介紹，原來隱身大盜木馬會攔截手機收到的網銀、支付類驗證短信，中招者很難查覺黑客的盜號行為。

 

當事人王先生：“我沒丟（錢）之前感覺（支付寶）挺方便的，但是丟了之后，只要我手機被黑了，什么都沒希望了，錢也追不回來了。”

 

二維碼或藏木馬病毒 專家警示加強防范

 

主持人：“咱們用過支付寶的人呢，都知道用手機號碼登錄支付寶，然后呢，你要點擊忘記登陸密碼，在頁面上就會跳出3種找回密碼的方式，其中一種呢，就是只要您輸入用戶的手機號碼，那接著再輸入手機上收到的校驗碼，就可以重置支付寶的密碼了。”

 

主持人：“那么是不是一旦自己的手機落到了不法分子的手里，支付寶就有丟錢的危險呢？支付寶又是否存在安全漏洞，讓不法分子有機可乘呢？接著往下看。”

 

支付寶方面稱，要重置賬戶密碼絕對不會只需一條手機校驗碼這么簡單，如果識別出用戶可能處在有風險的操作環境下，支付寶會提高修改密碼的驗證門檻，而經過內部調查，當天王先生的支付寶密碼在重置時，除了要求輸入驗證碼還需要輸入身份證號碼，因此可以說，王先生的身份信息可能早已泄漏。

 

支付寶公關朱健：“像他這樣的用戶，他被別人找回密碼，這個找回密碼的盜用者，一定是知道了他的身份證信息和他的手機校驗碼才可以做到的。”

 

雖然最后，支付寶與平安產險合作，為被盜用戶給予了全額的先行賠付，但是專家認為，盜號事件頻發，說明平臺的安全性仍有待提高。

 

復旦婓訊系統安全技術研究中心主任楊珉：“這些系統、這些工具都是我們程序開發者、程序設計人員去實現的，在設計的過程當中，會不可避免的引入各類未知的缺陷，這些缺陷對于惡意攻擊者來講，他們會孜孜不倦的尋找并且加以利用。”

 

上海市信息安全行業協會副秘書長王懷賓：“存在安全漏洞是必然的，特別是在快捷支付以及未來的移動支付，在這種快速發展的時候，在享受這種便捷的時候，這個安全性一定是有很大的（風險），因為它倆是一對矛盾。”

 

另一方面，專家建議用戶自身，也要提高警惕性，不要隨意打開陌生人發送的鏈接、二維碼、或是壓縮包。

 

復旦婓訊系統安全技術研究中心主任楊珉：“提高安全性它也不完全是企業的唯一責任，就是說首先作為我們用戶必須要有這樣的安全意識。”

 

主持人：“電商平臺的快捷的支付呢，的確是方便了，但是誰都不愿意說，為了方便而犧牲掉自己資金的安全，其實，支付寶面臨著快捷風險，也是第三方支付行業所面臨的一個共性的問題。”

 

主持人：“移動支付的發展呢，需要信息安全產業鏈同步跟上，而目前這一產業鏈的發展速度是相對滯后的，如何在方便與安全之間尋找到一個平衡點，這將是平臺提供者與用戶不得不面對的一個問題。”