二维码或藏木马病毒市民支付宝遭盗刷损失1万
快捷的支付方式与便利的登录过程支付宝最大的特点,而最近,全国接连发生了多起用户扫描二维码之后,支付宝的账户就被偷盗的案例。
像上海市民王先生就碰到了这样的事儿,他没有收到任何的短信提醒,支付宝和余额宝被悄无声息的转走了11000多块钱,究竟是什么回事儿呢?咱们来看看记者的报道吧。“
王先生在淘宝网上经营着一家网店,17日下午,他收到一条陌生人发来的二维码消息,并用手机扫描了一下,没想到,半小时后,王先生存在余额宝上的8千多元就不翼而飞,账户密码也被人篡改。此外,与支付宝绑定的银行卡内有近3千元存款也被人转走,王先生纳闷,按理说,支付宝或余额宝的每笔支出都必须输入支付密码和手机校验码确认,但王先生从来就没收到过校验信息,钱怎么就被转走了呢?
当事人王先生:“每支出一笔款,哪怕就一分钱,手机上(应该)要收到一个临时的六位数密码,然后你必须输入这个密码才行,但当时的话我是什么都没收到。”
王先生的遭遇并为个案,就在上周,嘉兴一位汪女士也报案称,自己余额宝、支付宝以及与其绑定的银行卡中共18万元被骗子转走,原因也是因为误扫了一个二维码,那么二维码哪里究竟隐藏着什么秘密?专家分析,王先生和汪女士很可能中了隐身大盗手机木马的毒,而这个隐身大盗就藏在他们扫描的二维码中,中毒后,手机就像被劫持了一样,不法分子会通过重置密码的方式进而控制他人的支付宝账户。
复旦婓讯系统安全技术研究中心主任杨珉:”二维码本身只是一个网址,但这个网址可能是指向了一个恶意软件的下载地址,安装完以后,这个软件就会在终端上或者在手机上去模拟用户操作支付宝账户的这样种种行为,从而实现对账户内金钱的盗取。“
王先生不解的是,每个支付宝账户都设有密码,重置密码也需要收入验证码,为什么自己的手机也没有收到呢?专家介绍,原来隐身大盗木马会拦截手机收到的网银、支付类验证短信,中招者很难查觉黑客的盗号行为。
当事人王先生:“我没丢(钱)之前感觉(支付宝)挺方便的,但是丢了之后,只要我手机被黑了,什么都没希望了,钱也追不回来了。”
二维码或藏木马病毒 专家警示加强防范
主持人:“咱们用过支付宝的人呢,都知道用手机号码登录支付宝,然后呢,你要点击忘记登陆密码,在页面上就会跳出3种找回密码的方式,其中一种呢,就是只要您输入用户的手机号码,那接着再输入手机上收到的校验码,就可以重置支付宝的密码了。”
主持人:“那么是不是一旦自己的手机落到了不法分子的手里,支付宝就有丢钱的危险呢?支付宝又是否存在安全漏洞,让不法分子有机可乘呢?接着往下看。”
支付宝方面称,要重置账户密码绝对不会只需一条手机校验码这么简单,如果识别出用户可能处在有风险的操作环境下,支付宝会提高修改密码的验证门槛,而经过内部调查,当天王先生的支付宝密码在重置时,除了要求输入验证码还需要输入身份证号码,因此可以说,王先生的身份信息可能早已泄漏。
支付宝公关朱健:“像他这样的用户,他被别人找回密码,这个找回密码的盗用者,一定是知道了他的身份证信息和他的手机校验码才可以做到的。”
虽然最后,支付宝与平安产险合作,为被盗用户给予了全额的先行赔付,但是专家认为,盗号事件频发,说明平台的安全性仍有待提高。
复旦婓讯系统安全技术研究中心主任杨珉:“这些系统、这些工具都是我们程序开发者、程序设计人员去实现的,在设计的过程当中,会不可避免的引入各类未知的缺陷,这些缺陷对于恶意攻击者来讲,他们会孜孜不倦的寻找并且加以利用。”
上海市信息安全行业协会副秘书长王怀宾:“存在安全漏洞是必然的,特别是在快捷支付以及未来的移动支付,在这种快速发展的时候,在享受这种便捷的时候,这个安全性一定是有很大的(风险),因为它俩是一对矛盾。”
另一方面,专家建议用户自身,也要提高警惕性,不要随意打开陌生人发送的链接、二维码、或是压缩包。
复旦婓讯系统安全技术研究中心主任杨珉:“提高安全性它也不完全是企业的唯一责任,就是说首先作为我们用户必须要有这样的安全意识。”
主持人:“电商平台的快捷的支付呢,的确是方便了,但是谁都不愿意说,为了方便而牺牲掉自己资金的安全,其实,支付宝面临着快捷风险,也是第三方支付行业所面临的一个共性的问题。”
主持人:“移动支付的发展呢,需要信息安全产业链同步跟上,而目前这一产业链的发展速度是相对滞后的,如何在方便与安全之间寻找到一个平衡点,这将是平台提供者与用户不得不面对的一个问题。”
