当二维码成为黑客盗取信息的新工具,移动支付是否能够保证用户安全?前天,央视《每周质量报告》再批手机支付安全隐患,提醒用户不要随意扫描来历不明的二维码。
二维码“扫掉”5000元
余小姐经营铝合金门窗生意,并开了一家网店,网上销售其门窗产品。可去年底,她在网店经历了一件怪事:“买家说要买的东西,图片、实物尺寸都在二维码里面,让我用手机扫一下。”余小姐想都没想,就将二维码扫进了自己的手机。可扫描后,手机里却没有看见这个买家所提供的相关信息,“对方就说,那你把你的手机号给我。我就发给他了,但他再没跟我联系。”
随后,余小姐就发现用自己的手机怎么也登录不进自己的淘宝账号,电脑登录后发现支付宝里的3000元没了,另外一张绑定的银行卡中2000元也被转走了。支付宝公司在分析后得出结论——账户被盗原因就出在那个奇怪的二维码上。
植入木马病毒窃取短信
二维码是怎样成为盗取账户密码的工具呢?支付宝公司安全工程师揭开了谜底,原来余小姐用手机扫了二维码之后,手机上装了能窃取短信的木马病毒,将余小姐收到的所有短信,同时转发到盗用者的手机上,从而盗取了账户里的钱财。
安装木马是第一步,还有一个关键环节,套取手机号码或其他个人资料。网络安全工程师张浩然解释,“如果黑客拿到用户手机号,或用户其他个人资料,就可以申请重置一些支付账户的密码,而这些验证短信都会被转到黑客的手机上。”
“只要用户在使用过程中提高安全防范意识,防止重要隐私信息泄露,账户被盗的风险就会降低很多。”支付宝公司表示,大多数的账户安全问题,源于用户本身的安全意识比较薄弱。
短信密码机制存缺陷
不难发现,通过恶意的二维码扫描,不法分子就是为了诱骗用户安装木马病毒,从而控制手机,“截取”信息,盗取钱财。现实支付过程中,验证短信就相当于一把开启移动支付的钥匙。有了它,绑定银行卡、修改密码、确定支付等繁琐的流程,都可以通过一个带有验证码的短信轻松得以实现。
“一些平时常用的应用软件,就存在着将验证短信泄露的风险。”移动支付安全专家李晓东表示,这些应用软件可能会提取用户的短信信息或联系人信息。
李晓东认为,目前手机支付主要的安全隐患有两个方面:第一,手机本身不安全,很多用户对手机的不安全是未知的;第二,支付流程尚不完善,现有的流程仅靠短信确认码完成银行卡绑定和金融产品的购买,这是一个比较大的漏洞。
事实上,移动支付能实现,主要是用户、第三方支付平台和银行之间形成了一个通路,银行和第三方支付平台之间通过银行的特许专线接口连接,外界基本上无法侵入。但第三方支付平台和用户之间的认证,则一般通过身份认证、密码认证、短信认证等方式进行付款的安全认证。一旦这些认证被层层突破,用户的资金安全将受到极大威胁。相关人士呼吁,第三方支付平台需加强对异常支付行为的监控。
文汇报记者 徐晶卉
友情链接 |
| 国家互联网信息办公室 | 上海静安 | 上海秀群 |
微博加关注
微信扫一扫
文汇报官方微信
汇拍微信
汇玩微信
汇吃微信
汇演微信
文汇讲堂
上海跑步者
下载APP
