|
每周質(zhì)量報(bào)告——誰動(dòng)了我們的支付寶
【演播室】
共同打造高質(zhì)量的生活���,歡迎收看《每周質(zhì)量報(bào)告》。有統(tǒng)計(jì)數(shù)據(jù)顯示��,截止到2013年12月���,我國的網(wǎng)購用戶已經(jīng)超過3億人����,網(wǎng)購零售市場(chǎng)交易額達(dá)到1.8萬億元以上��。而隨著網(wǎng)絡(luò)購物規(guī)模的不斷擴(kuò)大���,網(wǎng)絡(luò)支付的應(yīng)用范圍也越來越廣泛��,隨之而來的安全性問題也就越來越引人關(guān)注了。那么您的網(wǎng)絡(luò)支付賬戶到底安不安全呢�����?針對(duì)這個(gè)問題我們的記者展開了調(diào)查。
【正文】
上海的余小姐在當(dāng)?shù)匾患医ú某墙?jīng)營著一個(gè)鋁合金門窗店鋪��,為了拓展銷售渠道����,從去年年初開始,她在淘寶網(wǎng)[微博]開設(shè)了一家網(wǎng)店���,開始把自己店里的門窗產(chǎn)品放到網(wǎng)上銷售��。自從開了網(wǎng)店以后��,店里的銷售增加了不少����,這讓余小姐非常高興�。可是去年年底她在自家網(wǎng)店上卻經(jīng)歷了這樣一件怪事�����。
【同期】余小姐
他就說我要買的東西呀�,像那個(gè)圖片啊,實(shí)物啊���,尺寸啊都在這個(gè)二維碼里面�����,叫我用那個(gè)手機(jī)掃一下看就能知道了
【正文】
余小姐想都沒想就將那個(gè)二維碼掃進(jìn)了自己的手機(jī)里����,可是,就在她掃碼以后����,手機(jī)里卻沒有看到那位買家所說的相關(guān)信息。
【同期】余小姐
我就跟他說我說我什么都看不到�,他就說那你把你的電話給我 我跟你本人聯(lián)系,我當(dāng)時(shí)也沒有多想�����,我就把另外一個(gè)手機(jī)號(hào)就不是我的�����,我就發(fā)給他了�����,他說我要專門跟你聯(lián)系�����。 我說那行��,我又把我的手機(jī)發(fā)給他了 �����,但是過了段時(shí)間之后�����,他沒有跟我聯(lián)系�。
【正文】
可就在余小姐吃飯回來以后發(fā)現(xiàn),用自己的手機(jī)怎么也登錄不進(jìn)自己的淘寶賬號(hào)了�。
【同期】余小姐
首先是我的手機(jī)來看,手機(jī)密碼我登進(jìn)去���,怎么也就說我手機(jī)密碼錯(cuò)誤不正確�,我就有點(diǎn)納悶了我說是不是被人盜了�����,我當(dāng)時(shí)有這疑慮了,我就馬上登到我的那個(gè)電腦上去看����,因?yàn)殡娔X是不需要的,因?yàn)榫途W(wǎng)銀是打開的�,我沒有關(guān)電腦,當(dāng)時(shí)我進(jìn)去一看��,我的三千塊錢沒有了����,我當(dāng)時(shí)就感覺受騙了。
【正文】
讓余小姐沒有想到的是�,不僅僅自己支付寶[微博]賬戶里的余額被全部轉(zhuǎn)走了,另外一張和支付寶綁定的銀行卡中也有兩千元被轉(zhuǎn)走了�。
短短不到一個(gè)小時(shí)的時(shí)間,余小姐就損失了五千塊錢�����,這讓她驚慌失措�。她在凍結(jié)銀行卡的同時(shí),第一時(shí)間向派出所報(bào)了案�����,同時(shí)也和支付寶公司取得了聯(lián)系。
支付寶公司的技術(shù)人員在分析了余小姐的經(jīng)歷之后�,認(rèn)為導(dǎo)致余小姐支付寶賬戶被盜的原因,就出在那個(gè)奇怪的二維碼上�。
【同期】支付寶公司安全工程師
她就用手機(jī)去拍了這個(gè)二維碼����,導(dǎo)致這個(gè)手機(jī)上面中了一些相關(guān)的木馬病毒,那其實(shí)這個(gè)木馬��,最大的作用是將您收到的所有的短信同時(shí)轉(zhuǎn)發(fā)到盜用者的那個(gè)手機(jī)上面����。
【正文】
二維碼怎么會(huì)成為盜取支付寶賬戶的工具呢?為了弄清楚余小姐的支付寶賬戶到底是怎么被盜的��,記者找到另外一名網(wǎng)絡(luò)安全工程師�,這位工程師證實(shí),二維碼確實(shí)有可能幫助不法分子盜取用戶的相關(guān)信息����,從而盜取支付寶中的錢財(cái)。
【同期】網(wǎng)絡(luò)安全工程師 張浩然
一掃我們看到現(xiàn)在出來一個(gè)鏈接��,如果你點(diǎn)擊之后,它就會(huì)下載一個(gè)手機(jī)軟件�,你點(diǎn)安裝,實(shí)際上就是把木馬給安上了�,我這個(gè)手機(jī)現(xiàn)在是已經(jīng)安裝完木馬了,就是一個(gè)短信竊取的木馬�,然后呢現(xiàn)在呢我現(xiàn)在手里有兩臺(tái)手機(jī),這臺(tái)Iphone就可以看作是黑客的手機(jī)�����,實(shí)際上是這個(gè)木馬盜取的這個(gè)手機(jī)的所有短信���,都被轉(zhuǎn)到這臺(tái)Iphone上了�����。
【正文】
記者隨后往安裝了木馬程序的手機(jī)上發(fā)送了一條內(nèi)容為“中央電視臺(tái)節(jié)目測(cè)試”的短信�����,隨后發(fā)現(xiàn)不僅這臺(tái)手機(jī)接收到了相關(guān)信息�,被設(shè)定為黑客手機(jī)的Iphone上也顯示接收到了記者發(fā)來的短信息��。
【同期】網(wǎng)絡(luò)安全工程師 張浩然
實(shí)際上就是你的短信被他監(jiān)控了����,你這臺(tái)手機(jī)收到的短信會(huì)被它以短信的形式轉(zhuǎn)發(fā)到黑客的手機(jī)上���,就這臺(tái)Iphone,然后如果他用你的手機(jī)號(hào)或者以你的其他的個(gè)人資料去申請(qǐng)重置一些支付賬戶的密碼���,這些驗(yàn)證短信都會(huì)被轉(zhuǎn)到他的手機(jī)上����,就非常危險(xiǎn)
【正文】
事實(shí)上���,在支付寶的轉(zhuǎn)賬或者交易過程中,用戶必須要用到支付寶的登陸密碼和交易密碼��,這兩大密碼屬于絕對(duì)隱私�����,不法分子一般不大可能知曉����。但是,他們?cè)讷@取了用戶身份證信息和與支付寶賬戶綁定的手機(jī)號(hào)碼信息后���,卻可以利用支付寶找回密碼的功能重置用戶的這兩大密碼����,這就是不法分子在余小姐掃描二維碼后還問她要手機(jī)號(hào)碼的原因。隨后��,不法分子再通過惡意二維碼種植木馬程序���,就能截獲在找回密碼過程中本應(yīng)發(fā)到用戶本人手機(jī)上的驗(yàn)證碼�,從而輕而易舉地修改用戶的兩大密碼���,在用戶不知情的情況下將支付寶里的余額轉(zhuǎn)走�����。由于登陸密碼已經(jīng)被不法分子修改��,所以后來余小姐發(fā)現(xiàn)異常后登陸不進(jìn)自己的支付寶賬戶�。但是���,不法分子究竟是怎么獲得她本人身份證�、手機(jī)號(hào)這些隱私信息的�,余小姐百思不得其解��。
【同期】支付寶公司安全工程師
還可能會(huì)分成AB角�����,就是A角來引導(dǎo)你安裝手機(jī)木馬����,那B角在過程中會(huì)以另外一個(gè)比如說假顧客的名義�,我沒有支付寶那我可能是需要通過銀行給你轉(zhuǎn)賬的,麻煩你把銀行的卡號(hào)的信息給到我�,那么我給你轉(zhuǎn)賬,然后馬上會(huì)跟著來說���,銀行要求我提供那個(gè)被轉(zhuǎn)賬人的身份證號(hào)碼,麻煩你把身份證號(hào)碼給到我��,會(huì)有這樣的一個(gè)行為��,那么另外一個(gè)也有可能就是說���,個(gè)人的一些信息���,包括名字啊���,身分證號(hào)碼已經(jīng)出現(xiàn)過泄露,那可能再通過互聯(lián)網(wǎng)的一個(gè)整體的一個(gè)黑市上面會(huì)有一些相關(guān)信息做匹配的一些資料庫���,可以去做一些搜索�����,所以可能會(huì)是在這些環(huán)節(jié)出現(xiàn)了一些相關(guān)的泄露����。
【正文】
目前����,支付寶賬戶被盜的用戶遠(yuǎn)不止余小姐一人,對(duì)于這些情況����,支付寶公司也并不否認(rèn)。不過���,他們認(rèn)為�,只要用戶在使用過程中提高安全防范意識(shí)��,防止重要隱私信息的泄露,賬戶被盜的風(fēng)險(xiǎn)則會(huì)降低很多��。
【同期】支付寶公司安全工程師
風(fēng)險(xiǎn)發(fā)生率應(yīng)該是在十萬分之一左右��,那這個(gè)過程中我們沒辦法去擔(dān)保100%所有的用戶的支付寶全部是安全的���,我們現(xiàn)在大多數(shù)遇到的這些問題其實(shí)用戶本身的安全意識(shí)比較低下所以會(huì)產(chǎn)生一些包括像個(gè)人的信息泄露也好�,包括像收到的手機(jī)短信校驗(yàn)的這種相關(guān)的一些核心的信息���,出現(xiàn)了相關(guān)的泄露
【正文】
此前采訪的一位工程師告訴記者:類似惡意二維碼這樣的木馬鏈接��,雖然不容易被察覺���,但只要多加注意,不隨便掃描來源不明的二維碼�����,手機(jī)被種植木馬的幾率還相對(duì)較小�。而另外一種利用偽基站詐騙的方式則是將帶有惡意鏈接的短信偽裝成銀行��、電信的常用客服號(hào)碼發(fā)送�����,通過誘騙用戶點(diǎn)擊相關(guān)鏈接,上當(dāng)安裝木馬�,由于具有極大的隱蔽性和欺騙性,一般人很難防范���。
隨后�����,記者在調(diào)查過程中與專家一道發(fā)現(xiàn)偽基站發(fā)送的短信號(hào)碼竟然可以隨便定義��。
【同期】 網(wǎng)絡(luò)安全工程師 張浩然
你的手機(jī)走進(jìn)我這個(gè)信號(hào)范圍之內(nèi)����,就會(huì)被這個(gè)偽基站吸進(jìn)來���,我這會(huì)顯示你的手機(jī)這就是你的設(shè)備�,然后我可以自己定義你的設(shè)備����,比如我把你這臺(tái)手機(jī)Iphone定義成12300,然后我把這個(gè)我這臺(tái)設(shè)備定義成95588�����,然后我可以給你選擇給你發(fā)什么短信。
【正文】
將每臺(tái)設(shè)備的名稱定義好了以后��,工程師編緝了一條內(nèi)容為“工行電子密碼器即將失效���,請(qǐng)登入某某網(wǎng)站升級(jí)維護(hù)的”的短信��,并發(fā)送給了記者的手機(jī)��,就在他將電腦上的確認(rèn)鍵按下的同時(shí)�����,記者的手機(jī)收到了這條短信����。而短信的來源上赫然顯示是95588���,也就是我們?nèi)粘J熘墓ば锌头?hào)碼���。
偽基站不僅僅能偽裝成熟悉的客服號(hào)碼發(fā)送短信誘騙用戶上當(dāng)�,而且����,只要手機(jī)處在偽基站的控制范圍���,電話號(hào)碼的來電顯示都可以在和偽基站相連的電腦上隨意設(shè)置�。
【同期 】 網(wǎng)絡(luò)安全工程師 張浩然
我現(xiàn)在把你這個(gè)手機(jī)號(hào)給定義為12300了��,我現(xiàn)在手里的這個(gè)手機(jī)定義的是95588����,然后現(xiàn)在我給你撥一個(gè)電話我們看一下是什么顯示,看 其實(shí)是我給你打電話�,但你那顯示的是95588。一般的如果要是你比較熟悉這個(gè)官方的號(hào)碼你會(huì)比較信任���,如果你要沒有看出來這個(gè)內(nèi)容有一些蹊蹺或者你沒跟它客服確認(rèn)的話�����,就很容易中招�����。
【演播室】
無論是通過惡意的二維碼掃描����,還是通過偽基站發(fā)送假冒銀行客服短信,不法分子的目的都是誘騙用戶安裝木馬程序���,從而控制你的手機(jī)�、獲取你的信息���,進(jìn)而盜取你網(wǎng)絡(luò)支付賬戶當(dāng)中的錢財(cái)?���,F(xiàn)在啊����,智能手機(jī)也在不斷普及,移動(dòng)支付憑借快捷和便利的優(yōu)點(diǎn)���,受到越來越多用戶的青睞�,但是在調(diào)查中記者卻發(fā)現(xiàn)�,這種新興的移動(dòng)支付也同樣面臨著安全隱患。
【正文】
無論從余小姐離奇的經(jīng)歷����,還是記者調(diào)查中發(fā)現(xiàn)的惡意二維碼和偽基站誘騙用戶上當(dāng)?shù)倪^程,我們都不難發(fā)現(xiàn)����,不法分子費(fèi)盡心機(jī),最終的目的就是為了誘使用戶在手機(jī)上安裝木馬程序���,從而截獲得用戶手機(jī)所接收的和支付相關(guān)的驗(yàn)證短信?����,F(xiàn)實(shí)支付過程中�����,驗(yàn)證短信就相當(dāng)于一把開啟移動(dòng)支付的“安全鑰匙”���,有了它,綁定銀行卡�����、修改密碼�����、確認(rèn)支付等等繁瑣的流程都可以通過一個(gè)帶有驗(yàn)證碼的短信輕松得以實(shí)現(xiàn),但是�����,這把“安全鑰匙”的防范功能真的有那么強(qiáng)大嗎��?在調(diào)查中�����,記者和專家發(fā)現(xiàn)���,一些平時(shí)常用的應(yīng)用軟件就存在著將驗(yàn)證短信這把“安全鑰匙”泄露的風(fēng)險(xiǎn)�。
【同期】移動(dòng)支付安全專家 李曉東
這個(gè)程序可能是你實(shí)際安裝的一個(gè)游戲�����,或者是任何一個(gè)應(yīng)用軟件���,這些應(yīng)用軟件呢���,它可能提取你的短信信息��,你的聯(lián)系人信息�����,等等這些信息�,但是呢這些信息的隱私呢���,你并不知道它提取到什么程度,意味著什么 比方說我們往另一部手機(jī)發(fā)一個(gè)支付確認(rèn)密碼��,好����,發(fā)出去了,這部手機(jī)呢收到新的短信了�����,收到這個(gè)支付短信了�����,好�����,我的支付密碼是123456,那這是在我手機(jī)里面收到的這個(gè)短信信息����,那我回到我的應(yīng)用,這個(gè)演示的應(yīng)用程序里邊��,那這個(gè)短信呢我激活����,那么顯示的我的這個(gè)支付密碼是123456,也就是說我的這個(gè)應(yīng)用是可以抓到你所有的這個(gè)支付短信����,我是知道你的支付密碼的。
【正文】
專家告訴記者�����,只要手機(jī)安全軟件提示有讀取用戶隱私行為的各種應(yīng)用軟件����,理論上都能看到手機(jī)上的短信、聯(lián)系人等重要的隱私信息����,只不過看這些軟件的開發(fā)商用不用于非法用途罷了����。專業(yè)人員指出���,這種提示在大多數(shù)的應(yīng)用軟件安裝時(shí)�����,手機(jī)安全防護(hù)軟件都會(huì)有提醒,只不過幾乎沒有用戶會(huì)在意����。而從目前的手機(jī)支付軟件本身來說也存在一定的安全漏洞。
【同期】移動(dòng)支付安全專家 李曉東
目前呢我認(rèn)為主要的這個(gè)安全隱患有兩個(gè)方面�����,第一方面 是手機(jī)本身是不安全的���,很多用戶對(duì)手機(jī)的不安全是未知的��,很多這個(gè)風(fēng)險(xiǎn)是他不知道的��,第二個(gè)方面����,是本身在支付流程上不完善,我們現(xiàn)有的流程僅靠短信碼完成跟自己的卡綁定��,來完成金融產(chǎn)品的購買���,那這個(gè)我認(rèn)為是一個(gè)比較大的漏洞
【正文】
雖然目前看來�����,要完成一次在移動(dòng)支付端的賬戶盜刷��,僅僅依靠手機(jī)驗(yàn)證碼還不夠�����,其他如身份信息����、手機(jī)信息等需要同時(shí)被掌握才能成功實(shí)施���,但這些重要信息的獲得也并非難事�����,因此�����,手機(jī)短信驗(yàn)證碼盡管有其安全認(rèn)證的作用�,并且簡(jiǎn)單、方便�����、快捷�����,但它容易被竊取的漏洞也不容忽視�����。
事實(shí)上�����,移動(dòng)支付能得以實(shí)現(xiàn)����,主要是在用戶、第三方支付平臺(tái)和銀行之間形成了一個(gè)的通路���,在這個(gè)通路的三個(gè)主要方面中����,銀行和第三方支付平臺(tái)之間由于是通過銀行特許的專線接口來進(jìn)行連接的����,外界基本上是沒有辦法侵入,但在第三方支付平臺(tái)和用戶之間的認(rèn)證�,則一般通過身份認(rèn)證、密碼認(rèn)證和短信認(rèn)證以及預(yù)設(shè)問題認(rèn)證等方式進(jìn)行付款的安全認(rèn)證���,一旦這些認(rèn)證被層層突破�,用戶的資金安全將受到極大威脅����。而在目前,如果要將PC機(jī)用來保證網(wǎng)銀支付安全的數(shù)字證書這項(xiàng)成熟技術(shù)移植到手機(jī)端����,同時(shí)還要繼續(xù)保留移動(dòng)支付簡(jiǎn)單�、方便的特性�����,在技術(shù)層面上還沒有新突破����。因此,相關(guān)專業(yè)人士呼吁�����,作為第三方支付平臺(tái)����,需要加強(qiáng)對(duì)異常支付行為的監(jiān)控。
【同期】手機(jī)安全專家 萬仁國
這個(gè)可能就需要企業(yè)自身去分析這些數(shù)據(jù)�,到底那些是異常哪些不是異常的,就是既不影響用戶的使用�,又能保證這個(gè)用戶的安全�����,用戶的信息除了說這個(gè)網(wǎng)站加強(qiáng)安全性以外呢,其實(shí)我們目前國家也在法律層面在加強(qiáng)���,就是說禁止販賣個(gè)人的信息�����,那么在公司呢��,或者說某些這個(gè)機(jī)構(gòu)里面���,也要加強(qiáng)用戶資料的這么一個(gè)保管,防止說內(nèi)部人員利用手中的職權(quán)����,將這個(gè)信息給販賣出去。
【正文】
http://img1.cache./catchpic/5/5F/5F97CFBA35685BACBEB021303087E9A0.jpg
與此同時(shí)����,專家還呼吁廣大用戶,在享受移動(dòng)支付帶來便利的同時(shí)��,不要忽略其本身存在安全漏洞���,一方面�����,需要嚴(yán)防重要的身份信息被盜竊或者是泄露���,另一方面����,也盡量只在將移動(dòng)支付應(yīng)用于小額支付����,避免大額資金被盜取。
【同期】移動(dòng)支付安全專家 李曉東
如果進(jìn)行大額的這個(gè)轉(zhuǎn)帳�,支付,最好還是在PC端來完成�,而且在利用這個(gè)PC端,盡量利用跟銀行類似����,或者這些專業(yè)機(jī)構(gòu)類似的這個(gè)支付的解決方案,來完成這個(gè)轉(zhuǎn)賬和支付�。 在目前的情況,目前盡量只維持在小額支付���,而且呢最好是少捆綁自己的這個(gè)銀行卡�����。
【演播室】
現(xiàn)在有不少黑客專門針對(duì)網(wǎng)絡(luò)支付和移動(dòng)支付的特點(diǎn)��,不斷推出新的盜取用戶信息和錢財(cái)?shù)木W(wǎng)絡(luò)工具�����。面對(duì)這樣的現(xiàn)狀����,專家一方面提醒消費(fèi)者����,在使用網(wǎng)絡(luò)支付和移動(dòng)支付工具的時(shí)候應(yīng)該更加謹(jǐn)慎,加強(qiáng)防范才能降低風(fēng)險(xiǎn)���,而另一方面網(wǎng)絡(luò)支付平臺(tái)和移動(dòng)支付工具���,也應(yīng)該把防范不法分子的攻擊,保護(hù)好用戶的資金安全放在更為重要的位置來考慮�,提升自身的安全等級(jí),給消費(fèi)者營造一個(gè)更為安全的網(wǎng)絡(luò)交易空間��。好,感謝收看《每周質(zhì)量報(bào)告》����,下周同一時(shí)間再見。 
|
