□市民不要盲目隨便掃描來歷不明的二維碼 /王浩然
  □盜用者選擇通過手機校驗碼重置密碼,十秒鐘就順利完成。
  掃一掃,就能打開店鋪網頁;掃一掃,就能快捷支付……只需用手機對著二維碼掃一掃,就能加微信、裝軟件、發名片,甚至網上購物,讓生活變得更簡單、更時髦。但在看到二維碼便捷性的同時,不少人往往忽略了二維碼的來源可靠性。
  近日,市民王先生在掃描二維碼後,其支付寶和餘額寶竟被悄無聲息地轉走了11000多元。專家分析,這背後可能是一種手機木馬病毒在作祟。警方提醒,提高自身安全意識,不要見“碼”就掃。
  晨報記者王亦菲實習生裴小衎
  陌生“二維碼”掃走萬元
  王先生是一家網店店主。11月17日16時17分,正在店內打理生意的他,突然收到一條陌生人通過旺旺(淘寶的一種即時通信軟件)發給他的二維碼消息。
  作為網店店主,平時經常會接收到陌生人詢問店鋪商品等的信息,二維碼也在網店銷售中經常使用。所以王先生看到二維碼也沒在意,只用自己的手機掃描了一下。手機網頁很卡,等了約一分鐘,網頁也沒有顯示出來,王先生沒在意,就將手機擱置在一邊。
  沒想到半小時後,王先生存在餘額寶上的8000多元不翼而飛,支付寶賬戶密碼也被重置篡改。此外,與支付寶綁定的銀行卡內有近3000元存款也被人轉走。
  根本不需要手機校驗碼
  王先生大驚之下十分納悶。按照常理來說,支付寶或餘額寶的每筆支出都應該輸入支付密碼和手機校驗碼確認,但王先生從來就沒收到過校驗信息,錢怎麼就被轉走了呢?“每支出一筆款,哪怕就一分錢,手機上應該要收到一個臨時的六位數校驗碼,然後必須輸入這個校驗碼才能成功交易,但當時我什麼都沒收到。”
  個別人利用程序漏洞謀利
  王先生的個案中,儘管最後支付寶與平安產險合作,為王先生給予了全額先行賠付,但是專家認為,盜號事件頻發說明現在手機軟件支付使用安全性仍有待提高。
  復旦斐訊系統安全技術研究中心主任楊珉坦言,隨著近年來手機軟件的飛速發展,使用的人群越來越多,但是與此相應的防範軟件卻沒有跟上。“系統都是程序員設計的,在設計過程中會不可避免地出現這樣那樣的漏洞,而這些一般人看不出來的漏洞對於個別‘有心人’來說,卻是他們孜孜不倦去尋找並且可以加以利用的。”
  為什麼掃一下錢就沒了
  木馬病毒藏身二維碼內
  為什麼只是掃了下二維碼,王先生的手機就被“黑”了,支付寶內的錢款也都被捲走了呢?
  楊珉分析,王先生掃二維碼點開的鏈接很有可能已經被植入隱身大盜手機木馬的病毒。二維碼本身只是一個網址,這個網址可能是指向了一個惡意軟件的下載地址,安裝完以後這個軟件就會在終端上或者在手機上模擬用戶操作支付寶賬戶的種種行為,用戶手機里的身份證、銀行卡、支付寶密碼等信息都會被竊取。“這個時候賬戶就不是你自己的了,不法分子會通過重置密碼的方式,‘劫持’你的個人支付寶賬戶。”隨後的轉賬就變得輕而易舉。
  楊珉還表示,現今高級的木馬軟件安裝成功後,並不會在桌面上顯示任何圖標,而是直接“潛伏”進入手機後臺軟件,對手機不甚瞭解的用戶很容易就會“中招”。
  王先生密碼如何被篡改
  可能事先掌握用戶身份證信息
  不僅賬戶密碼被盜,犯罪分子還大膽地篡改了王先生的密碼,這又是如何做到的?記者登錄支付寶頁面發現,輸入賬戶後,選擇“忘記密碼”,隨後會進入密碼找回頁面。如果選擇“手機校驗碼”找回密碼,只需要十秒鐘,就能順利重置密碼。
  對此,支付寶方面稱,要重置賬戶密碼絕對不會只需一條手機校驗碼這麼簡單,如果識別出用戶可能處在有風險的操作環境下,支付寶會提高修改密碼的驗證門檻。經過內部調查,當天王先生的支付寶密碼在重置時除了要求驗證碼還需要身份證號碼。由此推斷,王先生的身份信息可能早已被泄露。“這個找回王先生賬戶密碼的盜用者一定是知道了他的身份證信息和他的手機校驗碼才能做到的。”
  如何繞過手機校驗碼
  雲端軟件“吞掉”校驗碼
  考慮到支付安全問題,支付寶或餘額寶的每筆支出除了必須輸入支付密碼外,王先生手機應該還會收到一個系統臨時生成的6位手機校驗碼。兩者皆在才能順利完成支付。但王先生表示,自己從來就沒收到過校驗信息,騙子又是如何繞過這個校驗碼的呢?
  楊珉解釋,犯罪分子應該是有目標下手的,“他一定瞭解王先生是一名淘寶店店主,因此發來的木馬軟件也是具有針對性的,專門針對支付寶等此類支付軟件。”他進一步解釋,木馬程序中還包含一個雲端軟件,不僅能獲取王先生的信息,還能截取支付寶平臺發來的校驗碼。“校驗碼是直接被軟件‘吞’了,用戶壓根就收不到,也不會發現自己賬戶出現異常。”
  怎麼避免類似事件
  安裝防護軟件檢測木馬
  警方對此建議,市民可以安裝相應的防護軟件。
  目前,騰訊、360等公司已經推出帶安全監測功能的二維碼檢測工具,手機用戶掃描二維碼後,可以自動檢測二維碼中是否包含惡意網站、手機木馬或惡意軟件的下載鏈接,降低手機用戶在掃碼後感染惡意軟件、訪問惡意網站的風險。“市民不要盲目隨便掃描來歷不明的二維碼,對於路邊廣告、廣告宣傳單、不明網站的二維碼,應當提高警惕。使用手機二維碼在線購物、支付時,更要保持警惕,看清網站域名,不要輕易點擊反覆彈出的小窗口頁面,不要輕易向他人透露自己的身份信息。同時,如果手機和銀行卡綁定,不要在銀行卡內儲存過大數額的資金,避免發生連鎖反應。”
  (原標題:二維碼掃一掃 一萬多元就沒了)
arrow
arrow
    全站熱搜

    vl84vllhcs 發表在 痞客邦 留言(0) 人氣()