在手机里植入病毒,再拿到身份证号,就能肆意盗取用户资金!现在移动支付领域的安全问题频出,最近又因为微信和手机淘宝在电商领域的争夺不断升级,使得业界注意的焦点集中在了二维码支付安全上。二维码支付是否安全?记者采访多位安全专家,他们均表示,问题不是出在二维码,而是二维码背后的支付系统是否完善、是否安全。
二维码暗藏木马要小心
近日,流传这样一则消息:嘉兴的王女士用手机扫描了一个二维码,中了木马病毒,半小时不到自己支付宝账户里的18万元就没了。记者看到这条消息时,一下子被惊呆了。如今二维码这么普遍,扫一扫是经常的事情,如果随便一个二维码都可能带毒,那么谁还敢扫一扫呢?
奇虎360网络安全专家万仁国向《中国电子报》记者还原了二维码病毒的真相:“二维码可以理解为一个链接,扫一下就等于打开一个页面或者APK的下载链接。王女士扫二维码是无法实现直接运行木马的,除非是她自己点了安装,运行了下载的木马APK才会中招。如果王女士确实通过二维码安装了软件,很可能是中了最常见的‘隐身大盗’木马。该木马会读取手机号码,并拦截转发网银、网上支付的验证码短信给黑客。”
万仁国介绍,此类手机木马盗取网上支付资金的一般流程是这样的:第一步,诱骗受害者扫描二维码安装手机木马。第二步,木马后台运行提取用户手机号发送给黑客。第三步,获取受害者身份证号(通过手机号、姓名等线索搜集受害者泄露的身份证号,或伪造一个账户验证界面诱骗受害者自己输入身份证号)。
第四步,黑客使用手机验证码申请找回登录密码,登陆账户;第五步,黑客使用手机验证码+身份证号找回支付密码;第六步,盗刷。
但是,万仁国强调,黑客只有在已经掌握了汪女士身份证号码的前提下,才能够修改汪女士的支付宝密码,才能完成后续盗取资金的动作,因为支付宝的规则是需要同时填写“支付宝账号+验证码短信+身份证号”。手机木马能够窃取手机号(即支付宝账号)和验证码短信,但无法直接获取受害者的身份证号码。因此现在一些木马开始伪装热门APP,以验证账户的名义诱骗受害者输入身份证号。
除了手机木马,二维码攻击还能通过“钓鱼”方式完成。万仁国继续假设,如果用户扫描二维码后打开了一个仿冒支付宝的钓鱼网页,在页面上输入提交了自己的支付宝账号和密码,那么这样也会造成支付宝密码泄露。
解释到这里,我们也许会觉得奇怪:扫一扫不是微信的功能吗?直接盗取微信账号和密码、支付密码不是更方便?为什么还转而去盗取支付宝账号密码呢?中国物联网产业协会信息安全总监申子熹告诉《中国电子报》记者,黑客会选择有资金的账户作案,如果微信账号绑定用户的银行卡,那么也会成为黑客盯上的目标。
网秦手机安全专家夏然也向《中国电子报》记者介绍了二维码的特性:“二维码具备隐蔽性,用户无法识别其二维码的下载链接是否安全,有些含有恶意软件的二维码扫描过后就直接进入下载页面。如果用户不小心点击下载,那么手机就会被安装恶意软件,面临隐私被窃取、恶意扣费等后果。”
二维码后台系统很关键
当前,二维码支付应用十分普遍。夏然告诉《中国电子报》记者,除了利用微信里的二维码扫描支付功能外,还有一些其他比较普遍的手机支付软件,比如支付宝手机客户端二维码扫描支付功能、快拍二维码等一些手机二维码扫描软件,基本上都可以实现二维码扫描支付的功能。
之所以在手机等移动终端如此普遍地使用二维码支付,申子熹解释道:“在更好的客户体验和更便捷的支付上,二维码是首选。因为用户已经接受了手机二维码的存在。”
而事实上,二维码所能存储的信息有限。据了解,用户通过二维码生成器可以很简单地将一个网页或者下载链接生成一个二维码。“它本身的作用是存一些文本数据(URL文本),并不能直接实现某些功能。”申子熹表示,“只不过是为了提升客户体验,是个噱头。”
这也就意味着,二维码本身是不带病毒的,“不是二维码不安全,也不是说二维码支付有问题,关键是看后台系统怎么设计。”他补充,“例如,在微信支付中,微信通过自己的协议对URL内容进行解析,链接到支付网关实现支付功能。这种认证的实现方式其实跟微信的公共平台接入的实现方式有异曲同工之处。现在微信公众平台的接口是公开的,未来微信支付平台也会向商家公开,而接口公开就存在被攻击的可能性。”
申子熹还指出,互联网金融兴起的今天,各种形式的支付模式应运而生,但是大家考虑业务实现的时候却还在延用之前的一些老旧技术,这些技术理论上存在瓶颈,容易被攻破。
安装安全软件防中招
不单单是手机支付软件存在被伪造的可能,二维码本身也有可能被伪造。那么,如何防止二维码链接病毒中招呢?
夏然建议,用户选择支付商家时一定要确认商家的可信度,最好提前使用安全软件验证二维码是否已经被病毒编写者利用。例如“网秦安全7.0”就提供恶意二维码扫描识别功能。同时“网秦安全”的“账户保镖”在需要用户输入账号密码等个人信息时,对手机的软件、链接网络等环境进行安全检查,也能保护用户的支付宝、淘宝、微信、微博等账号的安全。
万仁国也建议,首先要从正规渠道下载APP;其次对别人发来的APP、链接和二维码不要随便扫描、点击和安装;最后是注意保护个人资料安全,慎填身份证号等个人信息,使用一些安全产品,例如“360手机卫士”,开启“隐私行为监控”功能,拦截最新木马、拦截木马偷发短信等行为,以及用360安全浏览器上网来防范钓鱼网站等。
“网络欺诈之所以频繁发生,最根本的问题在于受害者的信息泄露给了攻击者。除了手机木马中毒泄露信息之外,用户储存在第三方数据库中的信息泄露也是很大的问题。”万仁国表示。
不久前,某知名连锁酒店信息系统被黑客攻击,造成住店客人身份证号、手机号等个人信息大量泄露,这已经给未来发生更多的个人资金被盗事件埋下了深深的隐患。
谈到此事,万仁国指出,支付安全一定是系统工程,需要主管机构、支付机构和用户多方一齐努力,才能最大限度实现支付安全。我们希望银行、支付公司、安全厂商、商家等链条上的各个角色能够更加深入地展开合作,也需要相关政府部门更加严厉地打击网络犯罪分子,形成威慑效应,才能真正有效地降低支付风险。