近日不少媒體報(bào)道�����,用戶手機(jī)賬戶里的錢“莫名”被轉(zhuǎn)走�����,折射支付安全隱憂���。在手機(jī)上使用第三方支付�����,僅需一個(gè)“賬戶名+驗(yàn)證碼”便可重置密碼�,這是個(gè)驚天漏洞���。11月18日�����,北京晨報(bào)記者從安全專家口中證實(shí)��,已研究發(fā)現(xiàn)大量截獲“驗(yàn)證碼”的木馬。它的出現(xiàn)��,意味著手機(jī)支付防線開始破裂��。
“驗(yàn)證碼大盜”成災(zāi)���,大量用戶被盜刷
今年5月��,金山反病毒工程師李鐵軍抓到一款色情軟件,能自動(dòng)攔截“手機(jī)驗(yàn)證碼”�,他很疑惑�����,它用這個(gè)功能要干什么。10月份�,木馬樣本越來越多���,幾乎已成災(zāi)����。又有華西都市報(bào)��、信息時(shí)報(bào)��、金陵晚報(bào)先后報(bào)道,不少用戶賬戶里的錢“莫名”被轉(zhuǎn)走。
直覺告訴李鐵軍�����,這可能與“驗(yàn)證碼大盜”有關(guān)���?���!拔矣只剡^頭往病毒庫找樣本,結(jié)果一找��,發(fā)現(xiàn)了20個(gè)木馬作者的郵箱,里面記錄著大量的盜刷記錄!”
每個(gè)郵件數(shù)量不等,少的幾十封,多的幾百封,木馬攔截短信后�����,直接把它們轉(zhuǎn)發(fā)到作者郵箱��。內(nèi)容多是受害者的身份證�����、手機(jī)號(hào)等,還有一些驗(yàn)證碼記錄���,比如重置密碼、開通快捷銀行�、付款��。
11月初��,奇虎360宣布發(fā)現(xiàn)類似樣本����,其工程師向北京晨報(bào)記者表示,它的傳播渠道有兩種,“一種是不正規(guī)的安卓應(yīng)用市場(chǎng)�、下載站�����、論壇等,二是一對(duì)一發(fā)送����,常見有冒充淘寶買家給賣家發(fā)送圖片�,誘導(dǎo)其掃描下載���?!?br>
漏洞指向第三方支付 “修改密碼”門檻太低
許多用戶可能有點(diǎn)蒙,攔截一個(gè)“驗(yàn)證碼”而已,怎么就能把賬戶里的錢轉(zhuǎn)走?李鐵軍向記者做了演示:先用釣魚方式獲取賬戶名�,再以“找回密碼”為由修改新密碼���?�!澳壳把芯康臉颖局校抉R獲取密碼的唯一方式就是 找回密碼 ?���!?/p>
大致過程為:“淘寶買家”向賣家發(fā)送二維碼���,對(duì)方掃描后會(huì)彈出一個(gè)頁面:“網(wǎng)絡(luò)突然中斷���,需要您填寫下賬戶名”,中招后�����,“買家”跟支付寶申請(qǐng)“我忘記密碼”���,支付寶會(huì)發(fā)送“手機(jī)驗(yàn)證碼”確認(rèn)�,“買家”用木馬把它攔截,轉(zhuǎn)發(fā)到自己郵箱���,之后盜刷支付寶便如探囊取物。
“修改密碼”一直是支付安全的核心環(huán)節(jié)�����,歷來被銀行重視���。北京晨報(bào)記者了解到���,在PC端支付�����,銀行曾采用U盾硬加密,后來手機(jī)流行���,為簡(jiǎn)化環(huán)節(jié)推出“快捷支付”����,無需U盾輸入“驗(yàn)證碼”即可,但在“修改密碼”環(huán)節(jié)�����,銀行一直未降低門檻:需要到線下網(wǎng)點(diǎn)辦理�����。
北京晨報(bào)記者親測(cè)中國(guó)建設(shè)銀行手機(jī)端,嘗試修改密碼����,需要持有效身份證件及注冊(cè)手機(jī)銀行的賬戶�,去柜臺(tái)辦理相關(guān)手續(xù)���。而第三方支付修改密碼確只需“用戶名+驗(yàn)證碼”�����,這更意味著木馬獲知賬戶名即獲知密碼�����,在推出手機(jī)綁定服務(wù)后���,目前絕大多數(shù)用戶已將賬戶與手機(jī)號(hào)進(jìn)行了綁定����,這更增加了盜號(hào)風(fēng)險(xiǎn)�。
電商質(zhì)疑盜號(hào)可行性,稱發(fā)生概率很低
北京晨報(bào)記者就該漏洞��,向國(guó)內(nèi)擁有第三方支付牌照的電商反映��,得到的一致回復(fù)是:發(fā)生概率很小。蘇寧易購(gòu)一位負(fù)責(zé)支付工作人員表示,此前只有過用戶SIM卡被復(fù)制盜刷的情況����,“攔截驗(yàn)證碼”的方式�����,還是第一次聽說。
支付寶相關(guān)負(fù)責(zé)人則表示�����,通過“攔截驗(yàn)證碼”找回密碼的方式��,在支付寶不可行���?�!拔覀儾粌H是看驗(yàn)證碼,還會(huì)要求它的身份證號(hào)。另外,若后臺(tái)識(shí)別出用戶可能在危險(xiǎn)環(huán)境下,會(huì)進(jìn)一步提高修改密碼門檻?����!?br>
但記者親測(cè)發(fā)現(xiàn)����,該說法與事實(shí)不符:無需身份證,只需賬戶名+驗(yàn)證碼。申請(qǐng)“忘記密碼”后����,記者僅需輸入賬戶名——選擇“手機(jī)校驗(yàn)碼”(30分鐘內(nèi)有效)——收到支付寶的短信��,隨后便能修改新密碼�����,整個(gè)過程不超過2分鐘�����。
對(duì)于此類盜號(hào)木馬�,國(guó)內(nèi)一電商負(fù)責(zé)金融的工作人員作出評(píng)價(jià)����,目前用戶支付信息只會(huì)存在兩個(gè)地方,一個(gè)是銀行,一個(gè)是第三方支付公司�����。相比之下�,銀行盜刷難度較大,“除非你丟手機(jī)的同時(shí),銀行卡也丟了����?���!?/p>
