主题: [解说词]央视《每周质量报告》再批手机支付安全隐患

继《法治在线》报道以后，央视《每周质量报告》栏目今天发出第二篇关于手机支付安全问题的报道“谁动了我们的支付宝”，二维码攻击过程与上一案例如出一辙。让我们这次也一起来找专家和找亮点吧。

温馨提示：1、请不要（手贱）扫描视频中没有模糊处理的二维码；2、当事人相关个人资料没有模糊处理，请不要人肉搜索。




以下是详细内容（视频地址）：

二维码，伪基站，都成***盗取信息的新工具；有漏洞，存隐患，移动支付是否能够保证用户安全？《每周质量报告》今天播出“谁动了我们的支付宝”。

有统计数据显示，截止到2013年12月，我国网购用户超过三亿人，网购零售市场交易额达到1.82万亿元以上。随着网络购物规模的不断扩大，网络支付的应用范围也是越来越大了，随之而来的安全性问题也是越发突出。您的网络支付账户是否安全？针对这个问题，近期我们的记者展开了调查。

【木马二维码】

上海的余小姐在当地一个建材市场经营着一家铝合金门窗店铺。为了拓展销售渠道，从去年年初开始，她在淘宝网开了一家网店，开始把自己店里的门窗产品放到网上销售。自从开了网店以后，店里的销售增加了不少，这让余小姐非常高兴。可是去年年底，她在自家网店上却经历了这样的一件怪事。

余小姐：他就说我要买的东西，像那个图片，实物尺寸都在这个二维码里面，叫我用那个手机扫一下看就能知道了。

余小姐想都没想，就将这个二维码扫进了自己的手机里。可是就在扫描以后，手机里却没有看见这个买家所提供的相关信息。

余小姐：我就跟他说我什么都看不到，他就说，那你把你的电话给我，我跟你本人联系。我当时也没有多想，我就把另外一个手机号，就不是我的，我就发给他了。他说我要专门跟你联系，我说那行，我又把我的手机发给他了。但是过段时间之后，他没有跟我联系。

可就在吃饭回来之后，余小姐发现用自己的手机怎么也登录不进自己的淘宝账号。

余小姐：首先是我的手机来看手机密码，我登进去，怎么也就说我手机密码错误不正确。我就有点纳闷了，我说是不是被人盗了？我当时有这疑虑了，我就马上登到我的那个电脑上去看，因为电脑网银是开的。我到网上去看我的三千块钱没有了，我当时就感觉受骗了。

余小姐没有想到的是，不仅自己支付宝里的余额被全部转走，另外一张和支付宝绑定的银行卡中也有2000元被转走了。短短不到一个小时的时间，余小姐就损失了五千块钱。这让余小姐惊慌失措。她在冻结银行卡的同时第一时间向公安局报案，同时也和支付宝公司取得了联系。支付宝技术人员在分析余小姐经历之后得出结论，导致于小姐账户被盗的原因就出在那个奇怪的二维码上。

支付宝公司安全工程师：她就用手机去拍了这个二维码。导致这个手机上面装了一些相关的木马病毒。那其实这个木马最大的作用，是将你收到的所有的短信，同时转发到盗用者的那个手机上面。

二维码是怎样成为盗取支付宝账户密码的工具呢？为了弄清余小姐的支付宝账户到底是怎么被盗的，记者找到另外一名网络安全工程师。这位工程师证实，二维码确实有可能帮助不法分子盗取用户的相关信息，从而盗取支付宝中的钱财。

网络安全工程师张浩然【CB注：系360手机安全专家】：一扫我们看到现在出来一个链接，如果你点击之后，它就会下载一个手机软件，你点安装，实际上就是把木马给安上了。我这个手机（给记者展示）现在已经是安装完木马了，就是一个短信窃取的木马。然后现在，我现在手里有两台手机，这台iPhone就可以看作是***的手机。实际上是这个木马盗取这个手机的所有短信都被转到这台iPhone上了。

记者随后往安装了木马程序的手机上，发送了一条内容为“中央电视台节目测试”的短信。随后发现，不仅这台手机就收到了相关信息，被设定为***手机的iPhone上也显示了记者所发来的信息。

张浩然：实际上就是你的短信被他监控了，你这台手机收到的短信，会被以短信的形式转发到***的手机上，就这台iPhone，然后如果他用你的手机号，或者与你的其他的个人资料，去申请重置一些支付账户的密码，这些验证短信都会被转到他的手机上，就非常危险。

事实上，在支付宝***或者交易过程中，用户必须用到支付宝的登录密码和交易密码。这两大密码属于绝对隐私，不法分子一般不大可能知晓。但是他们在获取了身份证信息，和与支付宝账户绑定的手机号码信息之后，却可以利用找回密码功能，重置用户的这两大密码。这就是不法分子在扫描余小姐二维码之后，还找她要手机号码的原因。随后不法分子在通过恶意二维码种植木马程序，就能截获找回密码过程中，本应发到用户本人手机上的验证码，从而轻而易举地修改用户的两大密码，在用户不知情的情况下将支付宝里的余额转走。由于登陆密码已经被不法分子修改，所以后来余小姐发现异常后，登录不进自己的支付宝账户。但是不法分子是怎样获得她身份证，手机号这些隐私信息的呢？余小姐百思不得其解。

支付宝公司安全工程师：他还可能会分成AB角，A角就是来引导你安装手机木马，那B角在过程中会以另外一个，比如说假顾客的名义，（说）我没有支付宝，我可能是需要通过银行给你***的，麻烦你把银行卡号的信息给我。那么我给你***，然后马上会跟着来说银行要求我提供那个被***人的身份证号码，麻烦你把身份证号码给我。会有这样的一个行为。那么另外一个也会说，就是个人的一些信息，包括名字，身份证号码，曾经被偷盗过，那可能再通过互联网一个整体的黑市上面，会有一些相关信息做匹配的一些资料库，可以去做一些搜索。所以可能会是在这些环节出现了一些相关的泄露。

目前支付宝账户被盗的用户远不止余小姐一人。对于这些情况，支付宝公司也并不否认。不过他们认为，只要用户在使用过程中提高安全防范意识，防止重要隐私信息的泄露，账户被盗的风险就会降低很多。

支付宝公司安全工程师：风险发生率应该是在十万分之一左右，那这个过程中我们没办法去担保百分之百，所有的用户的支付宝全部是安全的。我们现在大多数遇到的这些问题，其实用户本身的安全意识比较低下，所以会产生一些包括个人的信息泄露也好，包括收到的手机短信校验的，这种相关的一些核心的信息，出现了相关的泄露。

【伪基站】

之前采访的一位网络安全工程师告诉记者，类似木马二维码这样的链接虽然不容易被察觉，但只要多加注意，不随便扫描来历不明的二维码，手机被种植木马的几率相对较小。而另外一种使用伪基站进行诈骗的方式，就是将带有恶意链接的短信伪装成银行客服的常用电话号码发送，通过***骗用户点击相关链接，上当安装木马。由于具有极大的隐蔽性和欺骗性。一般人很难防范。

记者在调查过程中与专家一道发现，伪基站发送的短信号码，居然可以随便定义。

张浩然：你的手机走进我这个信号范围之内，就会被这个伪基站吸进来。我都会显示你的手机，这就是你的设备，然后可以自己定义你的设备，比如我把你这台手机iPhone定义成12300，然后我把我这个我这台设备定义成95588，然后可以给你选择给你发什么短信。

将每台设备的名称定义好了以后，工程师编辑了一条名为“工行电子密码器即将失效，请及时登录某某网站升级维护”的短信，并发送到记者的手机上。就在他将电脑上的确认键按下的同时，手机收到了这条短信，短信的来源赫然显示的是95588，也就是我们日常熟知的工行客服号码。

伪基站不仅能够伪装成熟悉的客服号码，发送短信***骗客户上当，而且只要用户的手机处在伪基站的控制范围内，电话的来电显示都可以在伪基站的电脑上随意显示。

张浩然：我现在把你这个手机号给定义为12300了，我现在手里的这个手机号定义的是95588，然后现在我给你拨一下这个电话我们看一下是什么显示。（拨号）看，其实是我给你打电话，但你那显示的是95588。一般的如果要是你比较熟悉的这个号码，你会比较信任，如果你要没有看出来这个内容有一些蹊跷，或者你没跟他客服确认的话，就很容易中招。

【短信密码机制的缺陷】

不论是通过恶意的二维码扫描，还是通过伪基站发送假冒的客服短信，不法分子的目的都是为了***骗用户安装木马病毒，而控制你的手机，获取你的信息，然后盗取你网络支付账户中的钱财。现在智能手机在不断的普及，移动支付凭借其快捷便利的优点受到了越来越多用户的青睐。但是在调查中，我们却发现这种新型的移动支付方式，也同样面临着安全隐患。

不论从余小姐所遭遇的离奇经历，还是记者调查中发现的恶意二维码和伪基站***骗用户上当的过程，我们都不难发现，不法分子费尽心机，最终的目的就是***骗用户在手机上安装木马程序，从而截获用户接收的和支付有关的验证短信。现实支付过程中，验证短信就相当于一把开启移动支付过程的钥匙。有了它，绑定银行卡，修改密码，确定支付等繁琐的流程，都可以通过一个带有验证码的短信轻松得以实现。但是这把安全钥匙的防范功能真的有这么强大吗？在调查中，记者和专家发现，一些平时常用的应用软件就存在着将验证短信这把安全钥匙泄露的风险。

移动支付安全专家李晓东【CB注：＠中关村老李，曾任Nokia移动商用软件部高级BD经理，现任百分点（大数据）无线业务部高级总监】：这个程序可能是你实际安装的一个游戏，或者是任何一个应用软件。这些应用软件呢，他可能提取你的短信信息，你的联系人信息等等这些信息，但是这些信息的隐私，你并不知道它提取到什么程度，意味着什么。

比方说，我们往另一部手机发一个支付确认密码（编辑短信），好，发出去了。我这部手机收到这个支付短信了。好，（收到短信）我的支付密码是123456，那这是在我手机里面收到的这个短信信息。那我回到我的应用，这个演示的应用程序里面，这个短信让我激活。（显示软件捕获用户短信的界面）那么显示的我的这个支付密码是123456，也就是说我的这个应用是可以抓到你所有的这个支付短信，我是知道你的支付密码的。

专家告诉记者，只要手机安全软件提示有读取用户隐私行为的特种应用软件，理论上都能看到手机的短信，联系人等重要的隐私信息，只不过看这些软件的开发商用不用于非法用途罢了。这种提示在大多数的应用软件安装时，手机安全软件都会有提醒，只不过几乎没有用户会在意。

李晓东：目前我认为主要的安全隐患有两个方面，第一方面是手机本身是不安全的，很多用户对手机的不安全是未知的，很多风险是他不知道的。第二个方面是本身在支付流程尚不完善，我们现有的流程仅靠短信的确认码，完成跟自己的银行卡绑定和金融产品的购买，这个我认为是一个比较大的漏洞。

虽然目前看来，要完成一次在移动支付端的账户盗刷，仅仅依靠手机验证码还不够，其他如身份信息，手机信息等需要同时被掌握才能成功实施，但是这些重要信息的获取也并非难事。因此手机短信验证码尽管有其安全认证的作用，并且简单方便快捷，但它容易被盗取的漏洞也不容忽视。

事实上，移动支付能得以实现，主要是用户，第三方支付平台和银行之间形成了一个通路。在这个通路的三个主要方面中，银行和第三方支付平台之间，由于是通过银行的特许专线接口来进行连接的，外界基本上是没办法侵入。但在第三方支付平台和用户之间的认证，则一般通过身份认证，密码认证，短信认证。以及预设问题认证等方式进行付款的安全认证。一旦这些认证被层层突破，用户的资金安全将受到极大威胁。而在目前如果要将pc机用来绑定网银支付安全的数字证书技术移植到手机端，同时还要保留手机支付简单方便的特性，在技术层面上还没有新突破。因此相关专业人士呼吁，作为第三方支付平台，需要加强对异常支付行为的监控。

手机安全专家万仁国【CB注：系360手机安全专家，上次《法治在线》采访的那个专家】：这个可能就需要企业自身去分析这些数据，到底哪些是异常，哪些不是异常的。就是既不影响用户的使用，又能保证这个用户的安全。用户的信息除了说这个网站加强安全性以外呢，其实我们目前国家也在法律层面在加强，就是说禁止贩卖个人的信息。那么在公司或者说某些机构里面，要加强用户资料的保管，防止内部人员利用手中的职权将这个信息贩卖出去。

与此同时，专家还呼吁广大用户，在享受移动支付带来便捷的同时，不要忽略其本身存在的安全漏洞。一方面要严防自己的私人信息被盗取泄露，另一方面要仅将移动支付用于小额支付，避免大额资金被盗取。

李晓东：如果进行大额的***支付，最好还是在pc端来完成。而且在利用这个pc端，尽量利用跟银行类似，或者这些专业机构类似的支付的解决方案来完成这个***或支付。在目前的情况下，目前尽量仅维持在小额支付，而且最好是少捆绑自己的银行卡。

【编后语】

现在有不少***专门针对网络支付和移动支付的策略，不断推出新的盗取用户个人信息和钱财的网络攻击。针对这样的现状，专家一方面提醒我们消费者，在使用网络支付和移动支付工具的时候，应该更加的谨慎，加强防范才能够降低风险。而另一方面，网络支付平台和移动支付工具，应该把防范攻击，保证用户的资金安全放在更加重要的位置上来考虑，而不仅仅是考虑如何快捷的问题。要提高自己的安全等级，才能给我们的消费者营造一个更加安全的网络环境。