病毒攻破最薄弱用戶端第三方支付成重災區

黃遠 劉佳近日，迷你倉因手機驗證碼失竊導致第三方支付賬戶遭盜刷的事件頻發，一種新型手機木馬病毒浮出水面。奇虎360（QIHU.NYSE）手機衛士將截獲的這款手機木馬變種命名為"隱身大盜"。昨日，金山軟件（03888.HK）反病毒工程師李鐵軍向《第一財經日報》證實，第三方支付領域是遭遇新型手機木馬病毒的重災區；但這並非支付體系出現的安全漏洞，而是整個支付流程中，最薄弱的用戶端被攻破了。360安全專家萬仁國對記者分析，"隱身大盜"的工作原理是在運行後會對用戶短信實施攔截，同時全部以短信的形式轉發到黑客手機上，然後才對短信放行，放行後用戶才會看到短信提示，也就是說木馬是比手機使用者更早看到短信內容的。另據分析，"隱身大盜"會對特定短信進行刪除，比如黑客在竊取受害者網銀賬戶時的手機驗證碼等短信，就會被木馬直接刪除，受害者根本看不到，也不能第一時間發現有人在盜取網銀賬戶。"這種病毒的行為其實非常簡單，目前的研究樣本只是截取短信。"李鐵軍說，"中了木馬病毒、被截獲手機驗證碼，並不會必然造成資金丟失。"李鐵軍向記者強調，不法分子必須同時獲取第三方支付權限，才會盜取資金成功。第一種情況是，用戶的身份證號、賬號等信息此前在其他渠道遭泄露，不法分子通過多種渠道集齊；第二種則如前述情況，病毒自帶釣魚網站界面，一站式獲取所有信息。據李鐵軍透露，從今年5月發現首個木馬樣本起，截至目前一共發現了500個左右的樣本，全部在安卓手機系統里，約有20%自帶"釣魚"網站界面。雖然是被動捲入，但由於一些容易被攻破的系統漏洞，再次把支付寶等第三方支付推向輿論焦點。"隨著技術的發展，欺詐者經常使用欺騙或者二維碼，誘使用戶下載一個木馬APK包，攔截自存倉戶的手機短信和驗證碼。"昨日，一位不願透露姓名的第三方支付平台高管向記者坦言，目前的第三方支付如果以手機驗證碼作為唯一校驗碼，確實存在缺陷。"手機驗證信息被攔截，還可以輕易通過密碼找回功能，修改用戶的第三方賬戶密碼。"前述人士表示，以支付寶賬戶為例，除了盜用支付寶賬戶中的餘額和餘額寶中的錢款，如果是商戶（賣家）丟失手機，後果可能更加嚴重；"盜刷者可能使用阿里小貸進行貸款，不僅賬戶的錢沒有了，而且還有欠款需要支付，這樣的損失就更大了。""對於任何起因的快捷支付被盜問題，包括木馬盜號的問題在內，支付寶用戶將獲得平安保險100%的賠償。"支付寶相關負責人昨日向記者回應稱，首先，支付寶很早就建立了木馬病毒庫等，與安全公司合作，共同抵禦木馬病毒；其次，手機驗證碼並非唯一校驗信息，支付寶實行身份證等多重驗證。但是，前述高管直言，由於欺詐者只需掌握用戶的身份信息，銀行卡號，並且能獲取手機驗證碼，就可以成功盜取銀行卡中的錢款。值得注意的是，身份信息和銀行卡信息屬於靜態信息，在網絡發達和公民身份信息保護薄弱的當下，很容易獲得，手機驗證碼雖然是輸入動態信息，但同樣存在前述缺陷。"新型病毒的技術含量並不高，懂安卓的人基本就能造出來，功能簡單卻能造成很大損失。"李鐵軍稱，由於其病毒行為十分"簡單"，極易偽裝成一般的安卓程序，按照傳統殺毒方法反而不易查殺；他透露，目前運用的殺毒方法，主要在用戶短信出現銀行卡、支付、驗證碼等關鍵字時，自動加密保護，已經初現成效。盡管如此，多名第三方支付業內人士表達了擔憂，如果增加快捷支付的多重驗證環節，勢必會降低快捷優勢，進而影響到用戶體驗；如何兼顧用戶體驗及賬戶安全性，一直都是業內探討的焦點。迷你倉