驗證碼環節被木馬攻破 修改密碼門檻太低 已被證實 手機支付藏驚天漏洞

近日不少媒體報道，mini storage用戶手機賬戶里的錢"莫名"被轉走，折射支付安全隱憂。在手機上使用第三方支付，僅需一個"賬戶名+驗證碼"便可重置密碼，這是個驚天漏洞。11月18日，北京晨報記者從安全專家口中證實，已研究發現大量截獲"驗證碼"的木馬。它的出現，意味著手機支付防線開始破裂。"驗證碼大盜"成災大量用戶被盜刷今年5月，金山反病毒工程師李鐵軍抓到一款色情軟件，能自動攔截"手機驗證碼"，他很疑惑，它用這個功能要幹什麼。10月份，木馬樣本越來越多，幾乎已成災。又有華西都市報、信息時報、金陵晚報先後報道，不少用戶賬戶里的錢"莫名"被轉走。直覺告訴李鐵軍，這可能與"驗證碼大盜"有關。"我又回過頭往病毒庫找樣本，結果一找，發現了20個木馬作者的郵箱，裡面記錄著大量的盜刷記錄！"每個郵件數量不等，少的幾十封，多的幾百封，木馬攔截短信後，直接把它們轉發到作者郵箱。內容多是受害者的身份證、手機號等，還有一些驗證碼記錄，比如重置密碼、開通快捷銀行、付款。11月初，奇虎360宣佈發現類似樣本，其工程師向北京晨報記者表示，它的傳播渠道有兩種，"一種是不正規的安卓應用市場、下載站、論壇等，二是一對一發送，常見有冒充淘寶買家給賣家發送圖片，誘導其掃描下載。"漏洞指向第三方支付 "修改密碼"門檻太低許多用戶可能有點蒙，攔截一個"驗證碼"而已，怎麼就能把賬戶里的錢轉走？李鐵軍向記者做了演示：先用釣魚方式獲取賬戶名，再以"找回密碼"為由修改新密碼。"目前研究的樣本中，木馬獲取密碼的唯一方式就是'找回密碼'。"大致過程為："淘寶買家"向賣家發送二維碼，對方掃描後會彈出一個頁面："網絡突然中斷，需要您填寫下賬戶名"，中招後，"買家"跟支付寶申請"我忘記密碼"，支付儲存會發送"手機驗證碼"確認，"買家"用木馬把它攔截，轉發到自己郵箱，之後盜刷支付寶便如探囊取物。"修改密碼"一直是支付安全的核心環節，歷來被銀行重視。北京晨報記者瞭解到，在PC端支付，銀行曾採用U盾硬加密，後來手機流行，為簡化環節推出"快捷支付"，無需U盾輸入"驗證碼"即可，但在"修改密碼"環節，銀行一直未降低門檻：需要到線下網點辦理。北京晨報記者親測中國建設銀行手機端，嘗試修改密碼，需要持有效身份證件及註冊手機銀行的賬戶，去櫃台辦理相關手續。而第三方支付修改密碼確只需"用戶名+驗證碼"，這更意味著木馬獲知賬戶名即獲知密碼，在推出手機綁定服務後，目前絕大多數用戶已將賬戶與手機號進行了綁定，這更增加了盜號風險。電商質疑盜號可行性稱發生概率很低北京晨報記者就該漏洞，向國內擁有第三方支付牌照的電商反映，得到的一致回複是：發生概率很小。蘇寧易購一位負責支付工作人員表示，此前只有過用戶SIM卡被複制盜刷的情況，"攔截驗證碼"的方式，還是第一次聽說。支付寶相關負責人則表示，通過"攔截驗證碼"找回密碼的方式，在支付寶不可行。"我們不僅是看驗證碼，還會要求它的身份證號。另外，若後台識別出用戶可能在危險環境下，會進一步提高修改密碼門檻。"但記者親測發現，該說法與事實不符：無需身份證，只需賬戶名+驗證碼。申請"忘記密碼"後，記者僅需輸入賬戶名——選擇"手機校驗碼"（30分鐘內有效）——收到支付寶的短信，隨後便能修改新密碼，整個過程不超過2分鐘。對於此類盜號木馬，國內一電商負責金融的工作人員作出評價，目前用戶支付信息只會存在兩個地方，一個是銀行，一個是第三方支付公司。相比之下，銀行盜刷難度較大，"除非你丟手機的同時，銀行卡也丟了。"晨報記者 王方迷你倉