驗證碼大盜

2013年11月，多起用戶資金被盜事件發生，而這些事件中都有一個統一特點，用戶沒有收到支付寶或者銀行發來的任何驗證信息。金山毒霸安全中心經過調查發現，受害者資金被盜之前，大多有使用安卓手機掃描二維碼，或者使用安卓手機接收、安裝不明apk檔案的經歷，這些二維碼或apk檔案中隱藏了一種新型的木馬病毒，它能夠攔截受害者手機簡訊中有關網銀或第三方支付網站傳送的驗證碼等關鍵信息，進而盜取網銀資金，而受害者毫無察覺。金山毒霸將這類病毒取名為“驗證碼大盜”。

據金山毒霸安全專家李鐵軍介紹，通過分析近200個驗證碼大盜，發現有的是直接攔截所有手機簡訊到黑客的手機上，這時受害者手機將無法收到任何簡訊；有的只攔截含“銀行、驗證碼、支付”等關鍵字的簡訊，這種攔截更加隱蔽，等受害者發現異常時，銀行卡餘額已被洗劫。

只憑簡訊驗證碼，銀行卡和支付賬戶里的錢怎么會丟呢？李鐵軍說，手機簡訊實際成為網銀支付、快捷支付的重要驗證方式。網銀功能的開通、支付工具的登錄和消費，很多都使用手機簡訊驗證身份，手機被安裝了攔截簡訊的木馬，就相當於把手機交給了別人。而這個控制你手機的人，又通過其他渠道獲得受害者網銀或第三方支付信息，比如，有些突出便利性的信用卡在網上支付的時候，只需要填寫卡號末四位和驗證碼，“驗證碼大盜”等木馬病毒很容易就能攔截到這類簡訊。既有賬號，又有關鍵的驗證碼，你的銀行賬戶相當於一個打開的錢包，完全暴露在他人面前。手機簡訊驗證碼的有效期一般是10分鐘，黑客有足夠的時間進行惡意支付。

2013年11月10日深夜，上海寶山區的一位周先生在睡夢中連續收到銀行發來的4條短訊息，顯示他的某個銀行網銀賬戶在4分鐘內通過支付寶快捷支付方式分四筆支出總計3萬元，讓周先生不解的是，此前綁定手機的簡訊驗證碼，他一條也沒有收到。

一位名為“老虎家三小姐”的網友也在新浪微博上透露，其網銀賬戶在2013年11月3日被人分三筆盜走1.1萬元，不僅手機簡訊驗證碼沒收到，連銀行簡訊都沒有。

中招的不限於網購買家，家住浙江諸暨的淘寶賣家錢女士在向買家介紹產品時，刷了客戶提供的一個二維碼，結果支付寶賬號被盜，對方用她的支付寶賬號向阿里小貸貸款1.1萬元。山東一位淘寶賣家的支付寶賬號被盜後，黑客買家用他的支付寶賬號向阿里小貸貸款5000元。他們都發現，本來應該接收到的手機簡訊驗證碼，沒有傳送到他們綁定的手機號碼。

雖然支付寶方面按照承諾先行賠付了被盜賬戶，但這些案例暴露出網上支付一個新的安全隱患：手機簡訊驗證碼未必安全。

支付寶方面表示，沒有哪一種支付方式100%安全，支付寶的風險是十萬分之一。從幾起失竊案件來看，受害者既有網購買家，也有賣家，黑客以“產品細節圖”或“訂單詳情”等做誘餌，引誘受害者在手機上點擊連結或二維碼，而被盜取驗證碼的手機，無一例外是安卓手機。

對此，安全專家表示，除了在手機上安裝安全產品進行必要的查殺和攔截，以及不要隨意安裝第三方論壇的apk檔案或ROM刷機包，用戶還必須養成良好的手機使用習慣，不要一味追求便利，還是要將安全放在首位。

首先，不要輕易掃描來歷不明的二維碼，二維碼已經成為手機木馬病毒傳播的一條重要渠道。

其次，如有可能，在支付環節儘可能進行多重驗證。比如有客戶有兩部手機，在用手機購物的時候，一部用於購物，另一部用於接收驗證碼，防止被人“一鍋端”。

當某些支付需要從客戶端軟體跳轉到手機瀏覽器的時候，用戶在瀏覽器中填寫的任何信息，包括賬號、密碼、驗證碼、信用卡有效期等，都會被瀏覽器默認保存。因此，支付結束後要立即清除瀏覽數據。當然，無論是客戶端，還是手機瀏覽器，最好不要勾選保存賬戶和密碼，這樣即使手機丟失，也不至於泄露個人隱私。

在安裝手機套用的時候要注意許可權管理，假如一款手機遊戲套用，安裝時提示擁有讀取手機通訊錄、通話記錄、短訊息等許可權，要想一想，這種許可權是否有必要。

此外，鑒於手機的重要性，用戶可以在設定屏保密碼的基礎上，對某些敏感套用二次加密，目前金山毒霸等軟體可以實現防病毒的功能。