掃一掃，就能打開(kāi)店鋪網(wǎng)頁(yè);掃一掃，就能快捷支付……只需用手機(jī)對(duì)著二維碼掃一掃，就能加微信、裝軟件、發(fā)名片，甚至網(wǎng)上購(gòu)物，讓生活變得更簡(jiǎn)單、更時(shí)髦。但在看到二維碼便捷性的同時(shí)，不少人往往忽略了二維碼的來(lái)源可靠性。

近日，市民王先生在掃描二維碼后，其支付寶和余額寶竟被悄無(wú)聲息地轉(zhuǎn)走了11000多元。專家分析，這背后可能是一種手機(jī)木馬病毒在作祟。警方提醒，提高自身安全意識(shí)，不要見(jiàn)“碼”就掃。

陌生“二維碼”掃走萬(wàn)元

王先生是一家網(wǎng)店店主。11月17日16時(shí)17分，正在店內(nèi)打理生意的他，突然收到一條陌生人通過(guò)旺旺(淘寶的一種即時(shí)通信軟件)發(fā)給他的二維碼消息。

作為網(wǎng)店店主，平時(shí)經(jīng)常會(huì)接收到陌生人詢問(wèn)店鋪商品等的信息，二維碼也在網(wǎng)店銷售中經(jīng)常使用。所以王先生看到二維碼也沒(méi)在意，只用自己的手機(jī)掃描了一下。手機(jī)網(wǎng)頁(yè)很卡，等了約一分鐘，網(wǎng)頁(yè)也沒(méi)有顯示出來(lái)，王先生沒(méi)在意，就將手機(jī)擱置在一邊。

沒(méi)想到半小時(shí)后，王先生存在余額寶上的8000多元不翼而飛，支付寶賬戶密碼也被重置篡改。此外，與支付寶綁定的銀行卡內(nèi)有近3000元存款也被人轉(zhuǎn)走。

根本不需要手機(jī)校驗(yàn)碼

王先生大驚之下十分納悶。按照常理來(lái)說(shuō)，支付寶或余額寶的每筆支出都應(yīng)該輸入支付密碼和手機(jī)校驗(yàn)碼確認(rèn)，但王先生從來(lái)就沒(méi)收到過(guò)校驗(yàn)信息，錢怎么就被轉(zhuǎn)走了呢?“每支出一筆款，哪怕就一分錢，手機(jī)上應(yīng)該要收到一個(gè)臨時(shí)的六位數(shù)校驗(yàn)碼，然后必須輸入這個(gè)校驗(yàn)碼才能成功交易，但當(dāng)時(shí)我什么都沒(méi)收到。”

個(gè)別人利用程序漏洞謀利

王先生的個(gè)案中，盡管最后支付寶與平安產(chǎn)險(xiǎn)合作，為王先生給予了全額先行賠付，但是專家認(rèn)為，盜號(hào)事件頻發(fā)說(shuō)明現(xiàn)在手機(jī)軟件支付使用安全性仍有待提高。

復(fù)旦斐訊系統(tǒng)安全技術(shù)研究中心主任楊珉坦言，隨著近年來(lái)手機(jī)軟件的飛速發(fā)展，使用的人群越來(lái)越多，但是與此相應(yīng)的防范軟件卻沒(méi)有跟上。“系統(tǒng)都是程序員設(shè)計(jì)的，在設(shè)計(jì)過(guò)程中會(huì)不可避免地出現(xiàn)這樣那樣的漏洞，而這些一般人看不出來(lái)的漏洞對(duì)于個(gè)別‘有心人’來(lái)說(shuō)，卻是他們孜孜不倦去尋找并且可以加以利用的。”

為什么掃一下錢就沒(méi)了

木馬病毒藏身二維碼內(nèi)

為什么只是掃了下二維碼，王先生的手機(jī)就被“黑”了，支付寶內(nèi)的錢款也都被卷走了呢?

楊珉分析，王先生掃二維碼點(diǎn)開(kāi)的鏈接很有可能已經(jīng)被植入隱身大盜手機(jī)木馬的病毒。二維碼本身只是一個(gè)網(wǎng)址，這個(gè)網(wǎng)址可能是指向了一個(gè)惡意軟件的下載地址，安裝完以后這個(gè)軟件就會(huì)在終端上或者在手機(jī)上模擬用戶操作支付寶賬戶的種種行為，用戶手機(jī)里的身份證、銀行卡、支付寶密碼等信息都會(huì)被竊取。“這個(gè)時(shí)候賬戶就不是你自己的了，不法分子會(huì)通過(guò)重置密碼的方式，‘劫持’你的個(gè)人支付寶賬戶。”隨后的轉(zhuǎn)賬就變得輕而易舉。

楊珉還表示，現(xiàn)今高級(jí)的木馬軟件安裝成功后，并不會(huì)在桌面上顯示任何圖標(biāo)，而是直接“潛伏”進(jìn)入手機(jī)后臺(tái)軟件，對(duì)手機(jī)不甚了解的用戶很容易就會(huì)“中招”。

王先生密碼如何被篡改

可能事先掌握用戶身份證信息

不僅賬戶密碼被盜，犯罪分子還大膽地篡改了王先生的密碼，這又是如何做到的?記者登錄支付寶頁(yè)面發(fā)現(xiàn)，輸入賬戶后，選擇“忘記密碼”，隨后會(huì)進(jìn)入密碼找回頁(yè)面。如果選擇“手機(jī)校驗(yàn)碼”找回密碼，只需要十秒鐘，就能順利重置密碼。

對(duì)此，支付寶方面稱，要重置賬戶密碼絕對(duì)不會(huì)只需一條手機(jī)校驗(yàn)碼這么簡(jiǎn)單，如果識(shí)別出用戶可能處在有風(fēng)險(xiǎn)的操作環(huán)境下，支付寶會(huì)提高修改密碼的驗(yàn)證門檻。經(jīng)過(guò)內(nèi)部調(diào)查，當(dāng)天王先生的支付寶密碼在重置時(shí)除了要求驗(yàn)證碼還需要身份證號(hào)碼。由此推斷，王先生的身份信息可能早已被泄露。“這個(gè)找回王先生賬戶密碼的盜用者一定是知道了他的身份證信息和他的手機(jī)校驗(yàn)碼才能做到的。”

如何繞過(guò)手機(jī)校驗(yàn)碼

云端軟件“吞掉”校驗(yàn)碼

考慮到支付安全問(wèn)題，支付寶或余額寶的每筆支出除了必須輸入支付密碼外，王先生手機(jī)應(yīng)該還會(huì)收到一個(gè)系統(tǒng)臨時(shí)生成的6位手機(jī)校驗(yàn)碼。兩者皆在才能順利完成支付。但王先生表示，自己從來(lái)就沒(méi)收到過(guò)校驗(yàn)信息，騙子又是如何繞過(guò)這個(gè)校驗(yàn)碼的呢?

楊珉解釋，犯罪分子應(yīng)該是有目標(biāo)下手的，“他一定了解王先生是一名淘寶店店主，因此發(fā)來(lái)的木馬軟件也是具有針對(duì)性的，專門針對(duì)支付寶等此類支付軟件。”他進(jìn)一步解釋，木馬程序中還包含一個(gè)云端軟件，不僅能獲取王先生的信息，還能截取支付寶平臺(tái)發(fā)來(lái)的校驗(yàn)碼。“校驗(yàn)碼是直接被軟件‘吞’了，用戶壓根就收不到，也不會(huì)發(fā)現(xiàn)自己賬戶出現(xiàn)異常。”

怎么避免類似事件

安裝防護(hù)軟件檢測(cè)木馬

警方對(duì)此建議，市民可以安裝相應(yīng)的防護(hù)軟件。

目前，騰訊、360等公司已經(jīng)推出帶安全監(jiān)測(cè)功能的二維碼檢測(cè)工具，手機(jī)用戶掃描二維碼后，可以自動(dòng)檢測(cè)二維碼中是否包含惡意網(wǎng)站、手機(jī)木馬或惡意軟件的下載鏈接，降低手機(jī)用戶在掃碼后感染惡意軟件、訪問(wèn)惡意網(wǎng)站的風(fēng)險(xiǎn)。“市民不要盲目隨便掃描來(lái)歷不明的二維碼，對(duì)于路邊廣告、廣告宣傳單、不明網(wǎng)站的二維碼，應(yīng)當(dāng)提高警惕。使用手機(jī)二維碼在線購(gòu)物、支付時(shí)，更要保持警惕，看清網(wǎng)站域名，不要輕易點(diǎn)擊反復(fù)彈出的小窗口頁(yè)面，不要輕易向他人透露自己的身份信息。同時(shí)，如果手機(jī)和銀行卡綁定，不要在銀行卡內(nèi)儲(chǔ)存過(guò)大數(shù)額的資金，避免發(fā)生連鎖反應(yīng)。”