近日不少媒体报道，用户手机账户里的钱“莫名”被转走，折射支付安全隐忧。在手机上使用第三方支付，仅需一个“账户名+验证码”便可重置密码，这是个惊天漏洞。11月18日，北京晨报记者从安全专家口中证实，已研究发现大量截获“验证码”的木马。它的出现，意味着手机支付防线开始破裂。

    “验证码大盗”成灾

    大量用户被盗刷

    今年5月，反病毒工程师李铁军抓到一款色情软件，能自动拦截“手机验证码”，他很疑惑，它用这个功能要干什么。10月份，木马样本越来越多，几乎已成灾。又有华西都市报、信息时报、金陵晚报先后报道，不少用户账户里的钱“莫名”被转走。

    直觉告诉李铁军，这可能与“验证码大盗”有关。“我又回过头往病毒库找样本，结果一找，发现了20个木马作者的邮箱，里面记录着大量的盗刷记录！”

    每个邮件数量不等，少的几十封，多的几百封，木马拦截短信后，直接把它们转发到作者邮箱。内容多是受害者的身份证、手机号等，还有一些验证码记录，比如重置密码、开通快捷银行、付款。

    11月初，奇虎360宣布发现类似样本，其工程师向北京晨报记者表示，它的传播渠道有两种，“一种是不正规的安卓应用市场、下载站、论坛等，二是一对一发送，常见有冒充淘宝买家给卖家发送图片，诱导其扫描下载。”

    漏洞指向第三方支付 “修改密码”门槛太低

    许多用户可能有点蒙，拦截一个“验证码”而已，怎么就能把账户里的钱转走？李铁军向记者做了演示：先用钓鱼方式获取账户名，再以“找回密码”为由修改新密码。“目前研究的样本中，木马获取密码的唯一方式就是 找回密码 。”

    大致过程为：“淘宝买家”向卖家发送二维码，对方扫描后会弹出一个页面：“网络突然中断，需要您填写下账户名”，中招后，“买家”跟支付宝申请“我忘记密码”，支付宝会发送“手机验证码”确认，“买家”用木马把它拦截，转发到自己邮箱，之后盗刷支付宝便如探囊取物。

    “修改密码”一直是支付安全的核心环节，历来被银行重视。北京晨报记者了解到，在PC端支付，银行曾采用U盾硬加密，后来手机流行，为简化环节推出“快捷支付”，无需U盾输入“验证码”即可，但在“修改密码”环节，银行一直未降低门槛：需要到线下网点办理。

    北京晨报记者亲测中国建设银行手机端，尝试修改密码，需要持有效身份证件及注册手机银行的账户，去柜台办理相关手续。而第三方支付修改密码确只需“用户名+验证码”，这更意味着木马获知账户名即获知密码，在推出手机绑定服务后，目前绝大多数用户已将账户与手机号进行了绑定，这更增加了盗号风险。

    电商质疑盗号可行性

    称发生概率很低

    北京晨报记者就该漏洞，向国内拥有第三方支付牌照的电商反映，得到的一致回复是：发生概率很小。苏宁易购一位负责支付工作人员表示，此前只有过用户SIM卡被复制盗刷的情况，“拦截验证码”的方式，还是第一次听说。

    支付宝相关负责人则表示，通过“拦截验证码”找回密码的方式，在支付宝不可行。“我们不仅是看验证码，还会要求它的身份证号。另外，若后台识别出用户可能在危险环境下，会进一步提高修改密码门槛。”

    但记者亲测发现，该说法与事实不符：无需身份证，只需账户名+验证码。申请“忘记密码”后，记者仅需输入账户名——选择“手机校验码”（30分钟内有效）——收到支付宝的短信，随后便能修改新密码，整个过程不超过2分钟。

    对于此类盗号木马，国内一电商负责金融的工作人员作出评价，目前用户支付信息只会存在两个地方，一个是银行，一个是第三方支付公司。相比之下，银行盗刷难度较大，“除非你丢手机的同时，银行卡也丢了。”

免责声明：本网站（http://www.ciotimes.com/）内容主要来自原创、合作媒体供稿和第三方投稿，凡在本网站出现的信息，均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性，但不保证有关资料的准确性及可靠性，读者在使用前请进一步核实，并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏，概不负任何法律责任。
本网站刊载的所有内容（包括但不仅限文字、图片、LOGO、音频、视频、软件、程序等）版权归原作者所有。任何单位或个人认为本网站中的内容可能涉嫌侵犯其知识产权或存在不实内容时，请及时通知本站，予以删除。