二維碼藏毒掃一掃被盜1萬多元

來源：新聞晨報(bào)　作者：裴小衎　責(zé)任編輯：韓杰　發(fā)表時(shí)間:2013-12-03 10:23　

支付寶余額寶二維碼管理機(jī)構(gòu)中國移動(dòng)中國聯(lián)通中國電信 3G 3D技術(shù)LTE FTTx IPTV 網(wǎng)絡(luò)視頻軟件移動(dòng)互聯(lián)網(wǎng)農(nóng)村互聯(lián)網(wǎng)電子商務(wù)其他

核心提示：近日，市民王先生在掃描二維碼后，其支付寶和余額寶竟被悄無聲息地轉(zhuǎn)走了11000多元。專家分析，這背后可能是一種手機(jī)木馬病毒在作祟。警方提醒，提高自身安全意識(shí)，不要見“碼”就掃。

掃一掃，就能打開店鋪網(wǎng)頁；掃一掃，就能快捷支付……只需用手機(jī)對(duì)著二維碼掃一掃，就能加微信、裝軟件、發(fā)名片，甚至網(wǎng)上購物，讓生活變得更簡單、更時(shí)髦。但在看到二維碼便捷性的同時(shí)，不少人往往忽略了二維碼的來源可靠性。

近日，市民王先生在掃描二維碼后，其支付寶和余額寶竟被悄無聲息地轉(zhuǎn)走了11000多元。專家分析，這背后可能是一種手機(jī)木馬病毒在作祟。警方提醒，提高自身安全意識(shí)，不要見“碼”就掃。

陌生“二維碼”掃走萬元

王先生是一家網(wǎng)店店主。11月17日16時(shí)17分，正在店內(nèi)打理生意的他，突然收到一條陌生人通過旺旺（淘寶的一種即時(shí)通信軟件）發(fā)給他的二維碼消息。

作為網(wǎng)店店主，平時(shí)經(jīng)常會(huì)接收到陌生人詢問店鋪商品等的信息，二維碼也在網(wǎng)店銷售中經(jīng)常使用。所以王先生看到二維碼也沒在意，只用自己的手機(jī)掃描了一下。手機(jī)網(wǎng)頁很卡，等了約一分鐘，網(wǎng)頁也沒有顯示出來，王先生沒在意，就將手機(jī)擱置在一邊。

沒想到半小時(shí)后，王先生存在余額寶上的8000多元不翼而飛，支付寶賬戶密碼也被重置篡改。此外，與支付寶綁定的銀行卡內(nèi)有近3000元存款也被人轉(zhuǎn)走。

根本不需要手機(jī)校驗(yàn)碼

王先生大驚之下十分納悶。按照常理來說，支付寶或余額寶的每筆支出都應(yīng)該輸入支付密碼和手機(jī)校驗(yàn)碼確認(rèn)，但王先生從來就沒收到過校驗(yàn)信息，錢怎么就被轉(zhuǎn)走了呢？“每支出一筆款，哪怕就一分錢，手機(jī)上應(yīng)該要收到一個(gè)臨時(shí)的六位數(shù)校驗(yàn)碼，然后必須輸入這個(gè)校驗(yàn)碼才能成功交易，但當(dāng)時(shí)我什么都沒收到。”

個(gè)別人利用程序漏洞謀利

王先生的個(gè)案中，盡管最后支付寶與平安產(chǎn)險(xiǎn)合作，為王先生給予了全額先行賠付，但是專家認(rèn)為，盜號(hào)事件頻發(fā)說明現(xiàn)在手機(jī)軟件支付使用安全性仍有待提高。

復(fù)旦斐訊系統(tǒng)安全技術(shù)研究中心主任楊珉坦言，隨著近年來手機(jī)軟件的飛速發(fā)展，使用的人群越來越多，但是與此相應(yīng)的防范軟件卻沒有跟上。“系統(tǒng)都是程序員設(shè)計(jì)的，在設(shè)計(jì)過程中會(huì)不可避免地出現(xiàn)這樣那樣的漏洞，而這些一般人看不出來的漏洞對(duì)于個(gè)別‘有心人’來說，卻是他們孜孜不倦去尋找并且可以加以利用的。”

為什么掃一下錢就沒了

木馬病毒藏身二維碼內(nèi)

為什么只是掃了下二維碼，王先生的手機(jī)就被“黑”了，支付寶內(nèi)的錢款也都被卷走了呢？

楊珉分析，王先生掃二維碼點(diǎn)開的鏈接很有可能已經(jīng)被植入隱身大盜手機(jī)木馬的病毒。二維碼本身只是一個(gè)網(wǎng)址，這個(gè)網(wǎng)址可能是指向了一個(gè)惡意軟件的下載地址，安裝完以后這個(gè)軟件就會(huì)在終端上或者在手機(jī)上模擬用戶操作支付寶賬戶的種種行為，用戶手機(jī)里的身份證、銀行卡、支付寶密碼等信息都會(huì)被竊取。“這個(gè)時(shí)候賬戶就不是你自己的了，不法分子會(huì)通過重置密碼的方式，‘劫持’你的個(gè)人支付寶賬戶。”隨后的轉(zhuǎn)賬就變得輕而易舉。

楊珉還表示，現(xiàn)今高級(jí)的木馬軟件安裝成功后，并不會(huì)在桌面上顯示任何圖標(biāo)，而是直接“潛伏”進(jìn)入手機(jī)后臺(tái)軟件，對(duì)手機(jī)不甚了解的用戶很容易就會(huì)“中招”。

王先生密碼如何被篡改

可能事先掌握用戶身份證信息

不僅賬戶密碼被盜，犯罪分子還大膽地篡改了王先生的密碼，這又是如何做到的？記者登錄支付寶頁面發(fā)現(xiàn)，輸入賬戶后，選擇“忘記密碼”，隨后會(huì)進(jìn)入密碼找回頁面。如果選擇“手機(jī)校驗(yàn)碼”找回密碼，只需要十秒鐘，就能順利重置密碼。

對(duì)此，支付寶方面稱，要重置賬戶密碼絕對(duì)不會(huì)只需一條手機(jī)校驗(yàn)碼這么簡單，如果識(shí)別出用戶可能處在有風(fēng)險(xiǎn)的操作環(huán)境下，支付寶會(huì)提高修改密碼的驗(yàn)證門檻。經(jīng)過內(nèi)部調(diào)查，當(dāng)天王先生的支付寶密碼在重置時(shí)除了要求驗(yàn)證碼還需要身份證號(hào)碼。由此推斷，王先生的身份信息可能早已被泄露。“這個(gè)找回王先生賬戶密碼的盜用者一定是知道了他的身份證信息和他的手機(jī)校驗(yàn)碼才能做到的。”(責(zé)任編輯：韓杰)

“掃一掃”關(guān)注融合網(wǎng)微信號(hào)

免責(zé)聲明：我方僅為合法的第三方企業(yè)注冊(cè)用戶所發(fā)布的內(nèi)容提供存儲(chǔ)空間，融合網(wǎng)不對(duì)其發(fā)布的內(nèi)容提供任何形式的保證：不保證內(nèi)容滿足您的要求，不保證融合網(wǎng)的服務(wù)不會(huì)中斷。因網(wǎng)絡(luò)狀況、通訊線路、第三方網(wǎng)站或管理部門的要求等任何原因而導(dǎo)致您不能正常使用融合網(wǎng)，融合網(wǎng)不承擔(dān)任何法律責(zé)任。

第三方企業(yè)注冊(cè)用戶在融合網(wǎng)發(fā)布的內(nèi)容（包含但不限于融合網(wǎng)目前各產(chǎn)品功能里的內(nèi)容）僅表明其第三方企業(yè)注冊(cè)用戶的立場(chǎng)和觀點(diǎn)，并不代表融合網(wǎng)的立場(chǎng)或觀點(diǎn)。相關(guān)各方及作者發(fā)布此信息的目的在于傳播、分享更多信息，并不代表本網(wǎng)站的觀點(diǎn)和立場(chǎng)，更與本站立場(chǎng)無關(guān)。相關(guān)各方及作者在我方平臺(tái)上發(fā)表、發(fā)布的所有資料、言論等僅代表其作者個(gè)人觀點(diǎn)，與本網(wǎng)站立場(chǎng)無關(guān)，不對(duì)您構(gòu)成任何投資、交易等方面的建議。用戶應(yīng)基于自己的獨(dú)立判斷，自行決定并承擔(dān)相應(yīng)風(fēng)險(xiǎn)。

根據(jù)相關(guān)協(xié)議內(nèi)容，第三方企業(yè)注冊(cè)用戶已知悉自身作為內(nèi)容的發(fā)布者，需自行對(duì)所發(fā)表內(nèi)容（如，字體、圖片、文章內(nèi)容等）負(fù)責(zé)，因所發(fā)表內(nèi)容（如，字體、圖片、文章內(nèi)容等）等所引發(fā)的一切糾紛均由該內(nèi)容的發(fā)布者（即，第三方企業(yè)注冊(cè)用戶）承擔(dān)全部法律及連帶責(zé)任。融合網(wǎng)不承擔(dān)任何法律及連帶責(zé)任。

第三方企業(yè)注冊(cè)用戶在融合網(wǎng)相關(guān)欄目上所發(fā)布的涉嫌侵犯他人知識(shí)產(chǎn)權(quán)或其他合法權(quán)益的內(nèi)容（如，字體、圖片、文章內(nèi)容等），經(jīng)相關(guān)版權(quán)方、權(quán)利方等提供初步證據(jù)，融合網(wǎng)有權(quán)先行予以刪除，并保留移交司法機(jī)關(guān)查處的權(quán)利。參照相應(yīng)司法機(jī)關(guān)的查處結(jié)果，融合網(wǎng)對(duì)于第三方企業(yè)用戶所發(fā)布內(nèi)容的處置具有最終決定權(quán)。

個(gè)人或單位如認(rèn)為第三方企業(yè)注冊(cè)用戶在融合網(wǎng)上發(fā)布的內(nèi)容（如，字體、圖片、文章內(nèi)容等）存在侵犯自身合法權(quán)益的，應(yīng)準(zhǔn)備好具有法律效應(yīng)的證明材料，及時(shí)與融合網(wǎng)取得聯(lián)系，以便融合網(wǎng)及時(shí)協(xié)調(diào)第三方企業(yè)注冊(cè)用戶并迅速做出相應(yīng)處理工作。

融合網(wǎng)聯(lián)系方式：（一）、電話：（010）57722280；（二）、電子郵箱：2029555353@qq.com dwrh@dwrh.net

對(duì)免責(zé)聲明的解釋、修改及更新權(quán)均屬于融合網(wǎng)所有。