“央视曝光移动支付诈骗：扫下二维码就中木马”

本篇文章5050字，读完约13分钟

每周质量报告——谁动了我们的支付宝( Alipay )？

【工作室】

共同构筑优质生活，请看《每周质量报告》。 一项统计数据显示，截至2009年12月，我国网购客户已超过3亿人，网购零售市场交易额达到1.8万亿元以上。 随着网络购物规模的扩大，网络结算的应用范围也越来越广，随之而来的安全问题也越来越受到关注。 那么，你的网络支付账户到底安全吗？ 与这个问题相比，我们的记者展开了调查。

【正文】

上海的余先生在当地的建材城经营着铝制窗框的店铺。 为了扩大销售渠道，从去年年初开始在淘宝网开设网店，开始网络销售自己店的门窗产品。 自从开了网店，店里的销售增加了很多，余先生很高兴。 但是，去年年末，她在自己家的网店里经历了这样奇怪的事情。

【同步】余先生

他说是我买的。 那个照片、实物、尺寸等都在这个QR码里，用那个手机扫描一下就知道了

【正文】

小余什么也没想就把QR码扫描到了自己的手机上，但是扫了码之后，在手机上就没有看到那个买家说的话。

【同步】余先生

我跟他说我什么也看不见。 他说那就把你的电话告诉我联系你自己。 我那时没怎么想。 我说另一个手机号码不是我的，我发给他了。 他说我专门联系你。 我说那一行，我又把我的手机发给了他，但是过了一会儿，他就没联系我了。

【正文】

但是，余吃完饭回来后，发现用自己的手机怎么也登录不了自己的淘宝账号。

【同步】余先生

先看看我的手机。 注册了手机密码，无论如何都说我的手机密码错了，我有点纳闷，说我是不是被人偷了。 因为我有那个疑问，所以我马上注册了我的那台电脑去看了。 不需要电脑。 因为网上银行开着，所以我没有关掉电脑。 那个时候，我进去一看，我的三千元不见了，我感觉被骗了。

【正文】

余先生没想到的是，除了自己支付宝的账户余额外，还被转移到了另一张与支付宝( Alipay )相连的银行卡中。

不到一个小时，余先生损失了5000元，使她惊慌失措。 她冻结了银行卡，第一时间向派出所报案，并与支付宝( Alipay )企业取得了联系。

支付宝( Alipay )企业的技术人员在分析了余先生的经历后，认为余先生的支付宝账户被盗的原因在于那个奇怪的QR码。

【同步】支付宝( Alipay )企业的安全工程师

她用手机去拍这个QR码，发现这个手机上有点相关的木马病毒，其实这个木马最大的作用就是把你收到的所有邮件转发到盗用者的手机上。

【正文】

QR码如何成为窃取支付宝( Alipay )账户的工具？ 为了弄清楚余先生的支付宝( Alipay )账户是怎么被盗的，记者找到了另一位网络安全工程师。 该工程师证实，QR码有可能帮助不法分子窃取顾客相关情况，并从支付宝( Alipay )中偷钱。

【同步】网络安全工程师张浩然

当我们看到现在有链接的时候，你一点击，它就会下载手机软件。 如果你点击安装，就相当于实际安装了木马。 我的手机现在安装完木马了。 也就是说，是用邮件偷的木马。 而且现在我手上有两台手机。 这个iphone可以看作是黑客的手机。 其实这个木马偷来的手机上的所有邮件都转发给了这个iphone

【正文】

之后，他向安装了木马程序的手机发送了“中央电视台节目测试”副本的邮件，结果发现不仅是这部手机，黑客手机上设定的iphone也收到了记者的短消息

【同步】网络安全工程师张浩然

实际上，你的邮件被他监视着。 从你手机收到的邮件将通过它作为邮件转发给黑客手机。 关于这个iphone，而且如果他用你的手机号码和其他个人信息申请重置支付账户的密码，这些认证邮件会被转发到他的手机上，非常危险

【正文】

实际上，在支付宝( Alipay )的转账和交易过程中，客户必须使用支付宝( Alipay )的登录密码和交易密码。 这两个大密码是绝对隐私，不法分子通常无法知道。 但是，他们在获得客户身份证新闻和与支付宝( Alipay )账户绑定的手机号码新闻后，可以利用支付宝( Alipay )找回密码的功能重置客户的这两个大密码。 于是，不法分子在余扫完QR码后，询问了手机号码。 之后，不法分子通过恶意QR码栽培木马程序，可以拦截在找回密码的过程中应该发送到客户自己手机上的东西，拿到客户的两个大密码进行更改，在客户不知情的情况下支付宝( Alipay ) 由于登录密码被不法分子篡改，后来余先生发现异常，无法登录到自己的支付宝( Alipay )账户。 但是，余先生不能理解不法分子是怎么得到她的身份证和手机号码等隐私新闻的。

【同步】支付宝( Alipay )企业的安全工程师

另外，可能在角a处分开。 角a邀请你安装手机木马。 角b在途中变成另一个例如假顾客的名义。 我没有支付宝( Alipay )。 可能需要通过银行汇款。 请给我发银行卡号的消息。 这样的话，汇款后马上继续。 银行要求我提供那个被汇款人的身份证号码。 请把身份证号码发给我。 有这样的行为。 另一方面，姓名和身份证号码等个人小新闻也有可能被泄露。 那就是，在互联网的整体黑市上，有一个相关情况稍微一致的数据库，可以稍微搜索一下，所以这些环节可能会出现一些相关的遗漏。

【正文】

目前，支付宝账户被盗的客户不仅仅是余先生一人，支付宝( Alipay )企业也没有否认这些情况。 但是，我们认为，如果顾客在招聘过程中提高安全防范意识，防止重要隐私新闻的泄露，账户被盗的风险就会降低很多。

【同步】支付宝( Alipay )企业的安全工程师

风险发生率应该是十万分之一左右。 在这个过程中，我们不能保证100%的所有客户的支付宝( Alipay )拥有是安全的。 我们现在面临的这些问题，很多其实是客户自身的安全意识很低，所以无论是个人新闻泄露，还是包括收到的手机短信查询之类的关联在内的稍微核心的新闻，都发生了关联的泄露。

【正文】

此前采访过的一位工程师表示，虽然恶意QR码等木马链接不易被察觉，但除非仔细观察，随意扫描来源不明的QR码，否则手机上被植入木马的概率比较低。 另一方面，利用假基站诈骗的另一种方法是将带有恶意链接的邮件伪装成银行和电信的常用顾客服务号发送，欺骗顾客点击相关链接，安装木马。 由于非常具有隐蔽性和欺骗性，通常人不容易防范。

随后，记者在调查中与专家一起发现伪基站发送的邮件号码可以随意定义。

【同步】网络安全工程师张浩然

一旦你的手机进入我的信号范围，就会被这个疑似基站吸入。 这说明你的手机这是你的设备。 而且，我可以自己定义你的装置。 比如，我把你手机的iphone定义为12300，然后我把这个我的设备定义为95588，然后我可以选择给你发什么样的邮件。

【正文】

定义好各设备的名称后，工程师表示:“工商银行电子密码器即将失效。 请登录某网站升级维护”的复印件，发送到记者的手机上。 他按了电脑的确认按钮的时候，记者的手机里发出了这封邮件。 邮件的来源显示了95588，也就是我们日常熟悉的工商银行的客户服务编号。

假基站伪装成熟悉的顾客号码发送邮件，不仅欺骗顾客，只要手机在假基站的控制范围内，电话号码的来电显示就可以通过连接在假基站的电脑自由设定。

【同步】网络安全工程师张浩然

现在，我把你的手机号码定义为12300。 我现在手上的这个手机定义为95588。 然后，现在打电话看看。 其实是我给你打电话的，但你的显示是95588。 通常，如果熟悉这个公式的号码就可以信赖，但是如果没有向顾客确认这个复印件有没有什么奇怪的地方，就很容易拿到。

【工作室】

无论是恶意QR码扫描，还是用假基站发送假的银行客服邮件，不法分子的目的都是欺骗顾客安装木马程序，控制手机，获取新闻，从互联网支付账户偷钱。 啊，高端智能手机也越来越普及，移动支付以其快捷方便的优点受到更多客户的欢迎，但调查发现，这种新型移动支付同样面临着安全隐患。

【正文】

从余先生的奇妙经历也可以看出，从记者调查中发现的恶意QR码和虚假基站欺骗顾客的过程中，不法分子也煞费苦心。 最终目的是吸引用户在手机上安装木马程序，拦截客户手机上收到的与支付相关的认证邮件。 在现实的支付过程中，验证短信相当于打开移动支付的“安全密钥”。 有了这个，绑定银行卡、更改密码、确认支付等麻烦的流程都可以通过一个短信轻松实现。 但是，这个“安全钥匙”的防范功能真的有那么强吗？ 在调查中，记者和专家发现，平时常用的APP有泄露验证邮件这一“安全密钥”的风险。

【同步】移动支付安全专家李晓东

这个程序可能是你实际安装的游戏，也可能是哪个APP软件。 这些APP软件怎么样？ 它可以提取出你的邮件新闻，你的联系新闻，等等新闻。 但是，这些新闻的隐私怎么样呢？ 你不知道那个被提取到了什么程度。 例如，我们会给别的手机发送支付确认密码。 是的，发送。 这个手机收到了新邮件，收到了这个支付邮件。 是的，我的支付密码是123456。 这是我手机收到的这条邮件消息。 那么，我回到我的APP，这个演示文稿的APP。 那么，这个邮件我来激活。 那么，显示的我的这个支付密码是123456。 也就是说，我的这个APP可以抓住你所有的这个支付消息。 我知道你的支付密码。

【正文】

专家表示，如果手机安全软件提示读取顾客隐私行为的各种APP软件，理论上可以查看手机邮件和联系方式等重要的隐私新闻，但发现这些软件的开发者不会用于非法用途 专家说，这个提示在大部分APP安装的时候，都会注意手机的安全软件，但很少有客户在意。 现在的手机支付软件本身也有一定的安全漏洞。

【同步】移动支付安全专家李晓东

我认为目前首要的这一安全隐患有两个方面。 第一个方面是手机本身不安全，很多顾客对手机的安全性不了解，很多这个风险他都不知道。 第二个方面是它本身在支付过程中不完善。 我们现有的流程是只用邮件代码完成与自己卡的绑定，从而完成金融产品的购买。 我觉得那是个比较大的洞

【正文】

目前，要完成一次移动支付端的账户盗码，光靠手机是不够的，还需要其他身份新闻、手机新闻等，而且如果不被掌握，似乎也不会成功，但获取这些重要新闻也并不是难事。 因此，手机短信具有其安全认证的作用，同时也是简单、方便、快捷的，但其容易被盗的漏洞也不容忽视。

事实上，移动支付能够实现的，首要的是在顾客、第三方支付平台和银行之间形成了一条通道。 在该通道的三个主要方面中，银行与第三方支付平台之间通过银行专利的专用线路接口连接，因此基本上不能进行外部入侵，但第三方支付平台与顾客之间的认证通常包括身份认证、密码认证和SMS认证， 要通过默认的问题认证等方法进行支付安全认证，并将这些认证分层后的当前用于确保网络银行支付安全的成熟技术移植到手机端，继续保存移动支付的简单、方便的特征，需要技术方面的支持 因此，相关专家呼吁，作为第三方支付平台，有必要加强对异常支付行为的监控。

【同步】手机安全专家万仁国

这可能需要公司自己分析这些数据。 到底什么异常？ 也就是说，能不影响客户的录用，确保这个客户的安全吗？ 客户的新闻除了说这个网站会加强安全性之外，其实我们现在的国家也在法律层面上加强了。 也就是说，禁止销售个人新闻。 在企业，或者一些这个机构，必须加强对客户资料的这种保管，防止利用内部人员手中的职权，传递这一消息

【正文】

另外，专家认为，在享受移动支付的便利性的基础上，为了不忽视其自身存在安全漏洞，一方面要严格防止重要身份新闻被盗、泄露，另一方面还要将移动支付应用于小额支付，以防止巨额资金被盗，这是非常必要的。

【同步】移动支付安全专家李晓东

进行大额的这笔转账、支付时，最好在pc端进行。 另外，如果使用该pc端，则尽可能使用银行等或这些专门机构等这种支付的处理计划，完成该转账和支付。 在目前的情况下，目前尽量维持小额支付。 而且，捆绑自己的这张银行卡最好少一些。

【工作室】

目前，许多黑客纷纷对比网络结算和移动结算的优势，推出了窃取顾客新闻和金钱的新互联网工具。 面对这种现状，专家告诫客户在采用网络结算和移动结算工具时，应更加慎重，加强防范以降低风险，而网络结算平台和移动结算工具则可以防止不法分子的攻击，从而有效地应对不法分子的侵害。 应该把保护客户资金安全放在更重要的位置来考虑，提高自身的安全水平，建立更安全的网络交易空之间。 是的，感谢您收看《每周质量报告》。 下周同一时间再见吧。