近日不少媒體報(bào)道����,用戶(hù)手機(jī)賬戶(hù)里的錢(qián)“莫名”被轉(zhuǎn)走,折射支付安全隱憂���。在手機(jī)上使用第三方支付��,僅需一個(gè)“賬戶(hù)名+驗(yàn)證碼”便可重置密碼�����,這是個(gè)驚天漏洞����。11月18日,北京晨報(bào)記者從安全專(zhuān)家口中證實(shí)���,已研究發(fā)現(xiàn)大量截獲“驗(yàn)證碼”的木馬�。它的出現(xiàn)���,意味著手機(jī)支付防線開(kāi)始破裂���。
“驗(yàn)證碼大盜”成災(zāi),大量用戶(hù)被盜刷
今年5月����,金山反病毒工程師李鐵軍抓到一款色情軟件,能自動(dòng)攔截“手機(jī)驗(yàn)證碼”���,他很疑惑�,它用這個(gè)功能要干什么。10月份�����,木馬樣本越來(lái)越多����,幾乎已成災(zāi)。又有華西都市報(bào)�、信息時(shí)報(bào)、金陵晚報(bào)先后報(bào)道���,不少用戶(hù)賬戶(hù)里的錢(qián)“莫名”被轉(zhuǎn)走�����。
直覺(jué)告訴李鐵軍����,這可能與“驗(yàn)證碼大盜”有關(guān)�����?����!拔矣只剡^(guò)頭往病毒庫(kù)找樣本��,結(jié)果一找�,發(fā)現(xiàn)了20個(gè)木馬作者的郵箱,里面記錄著大量的盜刷記錄�!”
每個(gè)郵件數(shù)量不等,少的幾十封����,多的幾百封,木馬攔截短信后�����,直接把它們轉(zhuǎn)發(fā)到作者郵箱��。內(nèi)容多是受害者的身份證�����、手機(jī)號(hào)等���,還有一些驗(yàn)證碼記錄����,比如重置密碼、開(kāi)通快捷銀行���、付款�。
11月初�,奇虎360宣布發(fā)現(xiàn)類(lèi)似樣本,其工程師向北京晨報(bào)記者表示����,它的傳播渠道有兩種,“一種是不正規(guī)的安卓應(yīng)用市場(chǎng)���、下載站�、論壇等��,二是一對(duì)一發(fā)送���,常見(jiàn)有冒充淘寶買(mǎi)家給賣(mài)家發(fā)送圖片�����,誘導(dǎo)其掃描下載�����?!?br>
漏洞指向第三方支付 “修改密碼”門(mén)檻太低
許多用戶(hù)可能有點(diǎn)蒙�����,攔截一個(gè)“驗(yàn)證碼”而已�����,怎么就能把賬戶(hù)里的錢(qián)轉(zhuǎn)走���?李鐵軍向記者做了演示:先用釣魚(yú)方式獲取賬戶(hù)名����,再以“找回密碼”為由修改新密碼��?�!澳壳把芯康臉颖局?��,木馬獲取密碼的唯一方式就是 找回密碼 ����。”
大致過(guò)程為:“淘寶買(mǎi)家”向賣(mài)家發(fā)送二維碼�,對(duì)方掃描后會(huì)彈出一個(gè)頁(yè)面:“網(wǎng)絡(luò)突然中斷,需要您填寫(xiě)下賬戶(hù)名”�����,中招后�����,“買(mǎi)家”跟支付寶申請(qǐng)“我忘記密碼”��,支付寶會(huì)發(fā)送“手機(jī)驗(yàn)證碼”確認(rèn)����,“買(mǎi)家”用木馬把它攔截,轉(zhuǎn)發(fā)到自己郵箱���,之后盜刷支付寶便如探囊取物�����。
“修改密碼”一直是支付安全的核心環(huán)節(jié)��,歷來(lái)被銀行重視���。北京晨報(bào)記者了解到��,在PC端支付,銀行曾采用U盾硬加密���,后來(lái)手機(jī)流行���,為簡(jiǎn)化環(huán)節(jié)推出“快捷支付”,無(wú)需U盾輸入“驗(yàn)證碼”即可����,但在“修改密碼”環(huán)節(jié),銀行一直未降低門(mén)檻:需要到線下網(wǎng)點(diǎn)辦理���。
北京晨報(bào)記者親測(cè)中國(guó)建設(shè)銀行手機(jī)端�,嘗試修改密碼����,需要持有效身份證件及注冊(cè)手機(jī)銀行的賬戶(hù)�����,去柜臺(tái)辦理相關(guān)手續(xù)��。而第三方支付修改密碼確只需“用戶(hù)名+驗(yàn)證碼”�����,這更意味著木馬獲知賬戶(hù)名即獲知密碼�����,在推出手機(jī)綁定服務(wù)后�,目前絕大多數(shù)用戶(hù)已將賬戶(hù)與手機(jī)號(hào)進(jìn)行了綁定��,這更增加了盜號(hào)風(fēng)險(xiǎn)�。
電商質(zhì)疑盜號(hào)可行性,稱(chēng)發(fā)生概率很低
北京晨報(bào)記者就該漏洞�,向國(guó)內(nèi)擁有第三方支付牌照的電商反映,得到的一致回復(fù)是:發(fā)生概率很小���。蘇寧易購(gòu)一位負(fù)責(zé)支付工作人員表示�����,此前只有過(guò)用戶(hù)SIM卡被復(fù)制盜刷的情況�����,“攔截驗(yàn)證碼”的方式���,還是第一次聽(tīng)說(shuō)�����。
支付寶相關(guān)負(fù)責(zé)人則表示,通過(guò)“攔截驗(yàn)證碼”找回密碼的方式���,在支付寶不可行����?��!拔覀儾粌H是看驗(yàn)證碼�,還會(huì)要求它的身份證號(hào)�����。另外,若后臺(tái)識(shí)別出用戶(hù)可能在危險(xiǎn)環(huán)境下�����,會(huì)進(jìn)一步提高修改密碼門(mén)檻����。”
但記者親測(cè)發(fā)現(xiàn)��,該說(shuō)法與事實(shí)不符:無(wú)需身份證��,只需賬戶(hù)名+驗(yàn)證碼����。申請(qǐng)“忘記密碼”后,記者僅需輸入賬戶(hù)名——選擇“手機(jī)校驗(yàn)碼”(30分鐘內(nèi)有效)——收到支付寶的短信����,隨后便能修改新密碼,整個(gè)過(guò)程不超過(guò)2分鐘�����。
對(duì)于此類(lèi)盜號(hào)木馬,國(guó)內(nèi)一電商負(fù)責(zé)金融的工作人員作出評(píng)價(jià)���,目前用戶(hù)支付信息只會(huì)存在兩個(gè)地方��,一個(gè)是銀行����,一個(gè)是第三方支付公司����。相比之下,銀行盜刷難度較大,“除非你丟手機(jī)的同時(shí),銀行卡也丟了����。”
