每周质量报告——谁动了我们的支付宝
【演播室】
共同打造高质量的生活,欢迎收看《每周质量报告》。有统计数据显示,截止到2013年12月,我国的网购用户已经超过3亿人,网购零售市场交易额达到1.8万亿元以上。而随着网络购物规模的不断扩大,网络支付的应用范围也越来越广泛,随之而来的安全性问题也就越来越引人关注了。那么您的网络支付账户到底安不安全呢?针对这个问题我们的记者展开了调查。
【正文】
上海的余小姐在当地一家建材城经营着一个铝合金门窗店铺,为了拓展销售渠道,从去年年初开始,她在淘宝网 [ ] 开设了一家网店,开始把自己店里的门窗产品放到网上销售。自从开了网店以后,店里的销售增加了不少,这让余小姐非常高兴。可是去年年底她在自家网店上却经历了这样一件怪事。
【同期】余小姐
他就说我要买的东西呀,像那个图片啊,实物啊,尺寸啊都在这个二维码里面,叫我用那个手机扫一下看就能知道了
【正文】
余小姐想都没想就将那个二维码扫进了自己的手机里,可是,就在她扫码以后,手机里却没有看到那位买家所说的相关信息。
【同期】余小姐
我就跟他说我说我什么都看不到,他就说那你把你的电话给我 我跟你本人联系,我当时也没有多想,我就把另外一个手机号就不是我的,我就发给他了,他说我要专门跟你联系。 我说那行,我又把我的手机发给他了 ,但是过了段时间之后,他没有跟我联系。
【正文】
可就在余小姐吃饭回来以后发现,用自己的手机怎么也登录不进自己的淘宝帐号了。
【同期】余小姐
首先是我的手机来看,手机密码我登进去,怎么也就说我手机密码错误不正确,我就有点纳闷了我说是不是被人盗了,我当时有这疑虑了,我就马上登到我的那个电脑上去看,因为电脑是不需要的,因为就网银是打开的,我没有关电脑,当时我进去一看,我的三千块钱没有了,我当时就感觉受骗了。
【正文】
让余小姐没有想到的是,不仅仅自己支付宝 [ ] 账户里的余额被全部转走了,另外一张和支付宝绑定的银行卡中也有两千元被转走了。
短短不到一个小时的时间,余小姐就损失了五千块钱,这让她惊慌失措。她在冻结银行卡的同时,第一时间向派出所报了案,同时也和支付宝公司取得了联系。
支付宝公司的技术人员在分析了余小姐的经历之后,认为导致余小姐支付宝账户被盗的原因,就出在那个奇怪的二维码上。
【同期】支付宝公司安全工程师
她就用手机去拍了这个二维码,导致这个手机上面中了一些相关的木马病毒,那其实这个木马,最大的作用是将您收到的所有的短信同时转发到盗用者的那个手机上面。
【正文】
二维码怎么会成为盗取支付宝账户的工具呢?为了弄清楚余小姐的支付宝账户到底是怎么被盗的,记者找到另外一名网络安全工程师,这位工程师证实,二维码确实有可能帮助不法分子盗取用户的相关信息,从而盗取支付宝中的钱财。
【同期】网络安全工程师 张浩然
一扫我们看到现在出来一个链接,如果你点击之后,它就会下载一个手机软件,你点安装,实际上就是把木马给安上了,我这个手机现在是已经安装 木马了,就是一个短信窃取的木马,然后呢现在呢我现在手里有两台手机,这台Iphone就可以看作是黑客的手机,实际上是这个木马盗取的这个手机的所有短信,都被转到这台Iphone上了。
【正文】
记者随后往安装了木马程序的手机上发送了一条内容为“中央电视台节目测试”的短信,随后发现不仅这台手机接收到了相关信息,被设定为黑客手机的Iphone上也显示接收到了记者发来的短信息。
【同期】网络安全工程师 张浩然
实际上就是你的短信被他监控了,你这台手机收到的短信会被它以短信的形式转发到黑客的手机上,就这台Iphone,然后如果他用你的手机号或者以你的其他的个人资料去申请重置一些支付账户的密码,这些验证短信都会被转到他的手机上,就非常危险
【正文】
事实上,在支付宝的转账或者交易过程中,用户必须要用到支付宝的登陆密码和交易密码,这两大密码属于绝对隐私,不法分子一般不大可能知晓。但是,他们在获取了用户身份证信息和与支付宝账户绑定的手机号码信息后,却可以利用支付宝找回密码的功能重置用户的这两大密码,这就是不法分子在余小姐扫描二维码后还问她要手机号码的原因。随后,不法分子再通过恶意二维码种植木马程序,就能截获在找回密码过程中本应发到用户本人手机上的验证码,从而轻而易举地修改用户的两大密码,在用户不知情的情况下将支付宝里的余额转走。由于登陆密码已经被不法分子修改,所以后来余小姐发现异常后登陆不进自己的支付宝账户。但是,不法分子究竟是怎么获得她本人身份证、手机号这些隐私信息的,余小姐百思不得其解。
【同期】支付宝公司安全工程师
还可能会分成AB角,就是A角来引导你安装手机木马,那B角在过程中会以另外一个比如说假顾客的名义,我没有支付宝那我可能是需要通过银行给你转账的,麻烦你把银行的卡号的信息给到我,那么我给你转账,然后马上会跟着来说,银行要求我提供那个被转账人的身份证号码,麻烦你把身份证号码给到我,会有这样的一个行为,那么另外一个也有可能就是说,个人的一些信息,包括名字啊,身分证号码已经出现过泄露,那可能再通过互联网的一个整体的一个黑市上面会有一些相关信息做匹配的一些资料库,可以去做一些搜索,所以可能会是在这些环节出现了一些相关的泄露。
【正文】
目前,支付宝账户被盗的用户远不止余小姐一人,对于这些情况,支付宝公司也并不否认。不过,他们认为,只要用户在使用过程中提高安全防范意识,防止重要隐私信息的泄露,账户被盗的风险则会降低很多。
【同期】支付宝公司安全工程师
风险发生率应该是在十万分之一左右,那这个过程中我们没办法去担保100%所有的用户的支付宝全部是安全的,我们现在大多数遇到的这些问题其实用户本身的安全意识比较低下所以会产生一些包括像个人的信息泄露也好,包括像收到的手机短信校验的这种相关的一些核心的信息,出现了相关的泄露
【正文】
此前采访的一位工程师告诉记者:类似恶意二维码这样的木马链接,虽然不容易被察觉,但只要多加注意,不随便扫描来源不明的二维码,手机被种植木马的几率还相对较小。而另外一种利用伪基站诈骗的方式则是将带有恶意链接的短信伪装成银行、电信的常用客服号码发送,通过诱骗用户点击相关链接,上当安装木马,由于具有极大的隐蔽性和欺骗性,一般人很难防范。
随后,记者在调查过程中与专家一道发现伪基站发送的短信号码竟然可以随便定义。
【同期】 网络安全工程师 张浩然
你的手机走进我这个信号范围之内,就会被这个伪基站吸进来,我这会显示你的手机这就是你的设备,然后我可以自己定义你的设备,比如我把你这台手机Iphone定义成12300,然后我把这个我这台设备定义成95588,然后我可以给你选择给你发什么短信。
【正文】
将每台设备的名称定义好了以后,工程师编缉了一条内容为“工行电子密码器即将失效,请登入某某网站升级维护的”的短信,并发送给了记者的手机,就在他将电脑上的确认键按下的同时,记者的手机收到了这条短信。而短信的来源上赫然显示是95588,也就是我们日常熟知的工行客服号码。
伪基站不仅仅能伪装成熟悉的客服号码发送短信诱骗用户上当,而且,只要手机处在伪基站的控制范围,电话号码的来电显示都可以在和伪基站相连的电脑上随意设置。
【同期 】 网络安全工程师 张浩然
我现在把你这个手机号给定义为12300了,我现在手里的这个手机定义的是95588,然后现在我给你拨一个电话我们看一下是什么显示,看 其实是我给你打电话,但你那显示的是95588。一般的如果要是你比较熟悉这个官方的号码你会比较信任,如果你要没有看出来这个内容有一些蹊跷或者你没跟它客服确认的话,就很容易中招。
【演播室】
无论是通过恶意的二维码扫描,还是通过伪基站发送假冒银行客服短信,不法分子的目的都是诱骗用户安装木马程序,从而控制你的手机、获取你的信息,进而盗取你网络支付账户当中的钱财。现在啊,智能手机也在不断普及,移动支付凭借快捷和便利的优点,受到越来越多用户的青睐,但是在调查中记者却发现,这种新兴的移动支付也同样面临着安全隐患。
【正文】
无论从余小姐离奇的经历,还是记者调查中发现的恶意二维码和伪基站诱骗用户上当的过程,我们都不难发现,不法分子费尽心机,最终的目的就是为了诱使用户在手机上安装木马程序,从而截获得用户手机所接收的和支付相关的验证短信。现实支付过程中,验证短信就相当于一把开启移动支付的“安全钥匙”,有了它,绑定银行卡、修改密码、确认支付等等繁琐的流程都可以通过一个带有验证码的短信轻松得以实现,但是,这把“安全钥匙”的防范功能真的有那么强大吗?在调查中,记者和专家发现,一些平时常用的应用软件就存在着将验证短信这把“安全钥匙”泄露的风险。
【同期】移动支付安全专家 李晓东
这个程序可能是你实际安装的一个游戏,或者是任何一个应用软件,这些应用软件呢,它可能提取你的短信信息,你的联系人信息,等等这些信息,但是呢这些信息的隐私呢,你并不知道它提取到什么程度,意味着什么 比方说我们往另一部手机发一个支付确认密码,好,发出去了,这部手机呢收到新的短信了,收到这个支付短信了,好,我的支付密码是123456,那这是在我手机里面收到的这个短信信息,那我回到我的应用,这个演示的应用程序里边,那这个短信呢我激活,那么显示的我的这个支付密码是123456,也就是说我的这个应用是可以抓到你所有的这个支付短信,我是知道你的支付密码的。
【正文】
专家告诉记者,只要手机安全软件提示有读取用户隐私行为的各种应用软件,理论上都能看到手机上的短信、联系人等重要的隐私信息,只不过看这些软件的开发商用不用于非法用途罢了。专业人员指出,这种提示在大多数的应用软件安装时,手机安全防护软件都会有提醒,只不过几乎没有用户会在意。而从目前的手机支付软件本身来说也存在一定的安全漏洞。
【同期】移动支付安全专家 李晓东
目前呢我认为主要的这个安全隐患有两个方面,第一方面 是手机本身是不安全的,很多用户对手机的不安全是未知的,很多这个风险是他不知道的,第二个方面,是本身在支付流程上不 善,我们现有的流程仅靠短信码 成跟自己的卡绑定,来 成金融产品的购买,那这个我认为是一个比较大的漏洞
【正文】
虽然目前看来,要 成一次在移动支付端的账户盗刷,仅仅依靠手机验证码还不够,其他如身份信息、手机信息等需要同时被掌握才能成功实施,但这些重要信息的获得也并非难事,因此,手机短信验证码尽管有其安全认证的作用,并且简单、方便、快捷,但它容易被窃取的漏洞也不容忽视。
事实上,移动支付能得以实现,主要是在用户、第三方支付平台和银行之间形成了一个的通路,在这个通路的三个主要方面中,银行和第三方支付平台之间由于是通过银行特许的专线接口来进行连接的,外界基本上是没有办法侵入,但在第三方支付平台和用户之间的认证,则一般通过身份认证、密码认证和短信认证以及预设问题认证等方式进行付款的安全认证,一旦这些认证被层层突破,用户的资金安全将受到极大威胁。而在目前,如果要将PC机用来保证网银支付安全的数字证书这项成熟技术移植到手机端,同时还要继续保留移动支付简单、方便的特性,在技术层面上还没有新突破。因此,相关专业人士呼吁,作为第三方支付平台,需要加强对异常支付行为的监控。
【同期】手机安全专家 万仁国
这个可能就需要企业自身去分析这些数据,到底那些是异常哪些不是异常的,就是既不影响用户的使用,又能保证这个用户的安全,用户的信息除了说这个网站加强安全性以外呢,其实我们目前国家也在法律层面在加强,就是说禁止贩卖个人的信息,那么在公司呢,或者说某些这个机构里面,也要加强用户资料的这么一个保管,防止说内部人员利用手中的职权,将这个信息给贩卖出去。
【正文】
与此同时,专家还呼吁广大用户,在享受移动支付带来便利的同时,不要忽略其本身存在安全漏洞,一方面,需要严防重要的身份信息被盗窃或者是泄露,另一方面,也尽量只在将移动支付应用于小额支付,避免大额资金被盗取。
【同期】移动支付安全专家 李晓东
如果进行大额的这个转帐,支付,最好还是在PC端来 成,而且在利用这个PC端,尽量利用跟银行类似,或者这些专业机构类似的这个支付的解决方案,来 成这个转账和支付。 在目前的情况,目前尽量只维持在小额支付,而且呢最好是少捆绑自己的这个银行卡。
【演播室】
现在有不少黑客专门针对网络支付和移动支付的特点,不断推出新的盗取用户信息和钱财的网络工具。面对这样的现状,专家一方面提醒消费者,在使用网络支付和移动支付工具的时候应该更加谨慎,加强防范才能降低风险,而另一方面网络支付平台和移动支付工具,也应该把防范不法分子的攻击,保护好用户的资金安全放在更为重要的位置来考虑,提升自身的安全等级,给消费者营造一个更为安全的网络交易空间。好,感谢收看《每周质量报告》,下周同一时间再见。
(声明:本文仅代表作者观点,不代表快讯网立场。)