二维码扫一扫 一万多元就没了

　　市民不要盲目随便扫描来历不明的二维码 /王浩然

　　盗用者选择通过手机校验码重置密码，十秒钟就顺利完成。

　　扫一扫，就能打开店铺网页;扫一扫，就能快捷支付……只需用手机对着二维码扫一扫，就能加微信、装软件、发名片，甚至网上购物，让生活变得更简单、更时髦。但在看到二维码便捷性的同时，不少人往往忽略了二维码的来源可靠性。

　　近日，市民王先生在扫描二维码后，其支付宝和余额宝竟被悄无声息地转走了11000多元。专家分析，这背后可能是一种手机木马病毒在作祟。警方提醒，提高自身安全意识，不要见“码”就扫。

　　晨报记者王亦菲实习生裴小锈

　　陌生“二维码”扫走万元

　　王先生是一家网店店主。11月17日16时17分，正在店内打理生意的他，突然收到一条陌生人通过旺旺(淘宝的一种即时通信软件)发给他的二维码消息。

　　作为网店店主，平时经常会接收到陌生人询问店铺商品等的信息，二维码也在网店销售中经常使用。所以王先生看到二维码也没在意，只用自己的手机扫描了一下。手机网页很卡，等了约一分钟，网页也没有显示出来，王先生没在意，就将手机搁置在一边。

　　没想到半小时后，王先生存在余额宝上的8000多元不翼而飞，支付宝账户密码也被重置篡改。此外，与支付宝绑定的银行卡内有近3000元存款也被人转走。

　　根本不需要手机校验码

　　王先生大惊之下十分纳闷。按照常理来说，支付宝或余额宝的每笔支出都应该输入支付密码和手机校验码确认，但王先生从来就没收到过校验信息，钱怎么就被转走了呢?“每支出一笔款，哪怕就一分钱，手机上应该要收到一个临时的六位数校验码，然后必须输入这个校验码才能成功交易，但当时我什么都没收到。”

　　个别人利用程序漏洞谋利

　　王先生的个案中，尽管最后支付宝与平安产险合作，为王先生给予了全额先行赔付，但是专家认为，盗号事件频发说明现在手机软件支付使用安全性仍有待提高。

　　复旦斐讯系统安全技术研究中心主任杨珉坦言，随着近年来手机软件的飞速发展，使用的人群越来越多，但是与此相应的防范软件却没有跟上。“系统都是程序员设计的，在设计过程中会不可避免地出现这样那样的漏洞，而这些一般人看不出来的漏洞对于个别‘有心人’来说，却是他们孜孜不倦去寻找并且可以加以利用的。”

　　为什么扫一下钱就没了

　　木马病毒藏身二维码内

　　为什么只是扫了下二维码，王先生的手机就被“黑”了，支付宝内的钱款也都被卷走了呢?

　　杨珉分析，王先生扫二维码点开的链接很有可能已经被植入隐身大盗手机木马的病毒。二维码本身只是一个网址，这个网址可能是指向了一个恶意软件的下载地址，安装完以后这个软件就会在终端上或者在手机上模拟用户操作支付宝账户的种种行为，用户手机里的身份证、银行卡、支付宝密码等信息都会被窃取。“这个时候账户就不是你自己的了，不法分子会通过重置密码的方式，‘劫持’你的个人支付宝账户。”随后的转账就变得轻而易举。

　　杨珉还表示，现今高级的木马软件安装成功后，并不会在桌面上显示任何图标，而是直接“潜伏”进入手机后台软件，对手机不甚了解的用户很容易就会“中招”。

　　王先生密码如何被篡改

　　可能事先掌握用户身份证信息

　　不仅账户密码被盗，犯罪分子还大胆地篡改了王先生的密码，这又是如何做到的?记者登录支付宝页面发现，输入账户后，选择“忘记密码”，随后会进入密码找回页面。如果选择“手机校验码”找回密码，只需要十秒钟，就能顺利重置密码。

　　对此，支付宝方面称，要重置账户密码绝对不会只需一条手机校验码这么简单，如果识别出用户可能处在有风险的操作环境下，支付宝会提高修改密码的验证门槛。经过内部调查，当天王先生的支付宝密码在重置时除了要求验证码还需要身份证号码。由此推断，王先生的身份信息可能早已被泄露。“这个找回王先生账户密码的盗用者一定是知道了他的身份证信息和他的手机校验码才能做到的。”

　　如何绕过手机校验码

　　云端软件“吞掉”校验码

　　考虑到支付安全问题，支付宝或余额宝的每笔支出除了必须输入支付密码外，王先生手机应该还会收到一个系统临时生成的6位手机校验码。两者皆在才能顺利完成支付。但王先生表示，自己从来就没收到过校验信息，骗子又是如何绕过这个校验码的呢?

　　杨珉解释，犯罪分子应该是有目标下手的，“他一定了解王先生是一名淘宝店店主，因此发来的木马软件也是具有针对性的，专门针对支付宝等此类支付软件。”他进一步解释，木马程序中还包含一个云端软件，不仅能获取王先生的信息，还能截取支付宝平台发来的校验码。“校验码是直接被软件‘吞’了，用户压根就收不到，也不会发现自己账户出现异常。”

　　怎么避免类似事件

　　安装防护软件检测木马

　　警方对此建议，市民可以安装相应的防护软件。

　　目前，腾讯、360等公司已经推出带安全监测功能的二维码检测工具，手机用户扫描二维码后，可以自动检测二维码中是否包含恶意网站、手机木马或恶意软件的下载链接，降低手机用户在扫码后感染恶意软件、访问恶意网站的风险。“市民不要盲目随便扫描来历不明的二维码，对于路边广告、广告宣传单、不明网站的二维码，应当提高警惕。使用手机二维码在线购物、支付时，更要保持警惕，看清网站域名，不要轻易点击反复弹出的小窗口页面，不要轻易向他人透露自己的身份信息。同时，如果手机和银行卡绑定，不要在银行卡内储存过大数额的资金，避免发生连锁反应。”

评论总数：0 条 [ 查看全部 ] 网友评论