近日，因手機(jī)驗證碼失竊導(dǎo)致第三方支付賬戶遭盜刷的事件頻發(fā)，一種新型手機(jī)木馬病毒浮出水面。奇虎360（QIHU.NYSE）手機(jī)衛(wèi)士將截獲的這款手機(jī)木馬變種命名為“隱身大盜”。

    昨日，金山軟件（03888.HK）反病毒工程師李鐵軍向《第一財經(jīng)日報》證實，第三方支付領(lǐng)域是遭遇新型手機(jī)木馬病毒的重災(zāi)區(qū)；但這并非支付體系出現(xiàn)的安全漏洞，而是整個支付流程中，最薄弱的用戶端被攻破了。

    360安全專家萬仁國對記者分析，“隱身大盜”的工作原理是在運(yùn)行后會對用戶短信實施攔截，同時全部以短信的形式轉(zhuǎn)發(fā)到黑客手機(jī)上，然后才對短信放行，放行后用戶才會看到短信提示，也就是說木馬是比手機(jī)使用者更早看到短信內(nèi)容的。

    另據(jù)分析，“隱身大盜”會對特定短信進(jìn)行刪除，比如黑客在竊取受害者網(wǎng)銀賬戶時的手機(jī)驗證碼等短信，就會被木馬直接刪除，受害者根本看不到，也不能第一時間發(fā)現(xiàn)有人在盜取網(wǎng)銀賬戶。

    “這種病毒的行為其實非常簡單，目前的研究樣本只是截取短信。”李鐵軍說，“中了木馬病毒、被截獲手機(jī)驗證碼，并不會必然造成資金丟失?！崩铊F軍向記者強(qiáng)調(diào)，不法分子必須同時獲取第三方支付權(quán)限，才會盜取資金成功。第一種情況是，用戶的身份證號、賬號等信息此前在其他渠道遭泄露，不法分子通過多種渠道集齊；第二種則如前述情況，病毒自帶釣魚網(wǎng)站界面，一站式獲取所有信息。

    據(jù)李鐵軍透露，從今年5月發(fā)現(xiàn)首個木馬樣本起，截至目前一共發(fā)現(xiàn)了500個左右的樣本，全部在安卓手機(jī)系統(tǒng)里，約有20%自帶“釣魚”網(wǎng)站界面。

    雖然是被動卷入，但由于一些容易被攻破的系統(tǒng)漏洞，再次把支付寶等第三方支付推向輿論焦點。

    “隨著技術(shù)的發(fā)展，欺詐者經(jīng)常使用欺騙或者二維碼，誘使用戶下載一個木馬APK包，攔截用戶的手機(jī)短信和驗證碼?！弊蛉?，一位不愿透露姓名的第三方支付平臺高管向記者坦言，目前的第三方支付如果以手機(jī)驗證碼作為唯一校驗碼，確實存在缺陷。

    “手機(jī)驗證信息被攔截，還可以輕易通過密碼找回功能，修改用戶的第三方賬戶密碼?！鼻笆鋈耸勘硎?，以支付寶賬戶為例，除了盜用支付寶賬戶中的余額和余額寶中的錢款，如果是商戶（賣家）丟失手機(jī)，后果可能更加嚴(yán)重；“盜刷者可能使用阿里小貸進(jìn)行貸款，不僅賬戶的錢沒有了，而且還有欠款需要支付，這樣的損失就更大了。”

    “對于任何起因的快捷支付被盜問題，包括木馬盜號的問題在內(nèi)，支付寶用戶將獲得平安保險100%的賠償?！敝Ц秾毾嚓P(guān)負(fù)責(zé)人昨日向記者回應(yīng)稱，首先，支付寶很早就建立了木馬病毒庫等，與安全公司合作，共同抵御木馬病毒；其次，手機(jī)驗證碼并非唯一校驗信息，支付寶實行身份證等多重驗證。

    但是，前述高管直言，由于欺詐者只需掌握用戶的身份信息，銀行卡號，并且能獲取手機(jī)驗證碼，就可以成功盜取銀行卡中的錢款。值得注意的是，身份信息和銀行卡信息屬于靜態(tài)信息，在網(wǎng)絡(luò)發(fā)達(dá)和公民身份信息保護(hù)薄弱的當(dāng)下，很容易獲得，手機(jī)驗證碼雖然是輸入動態(tài)信息，但同樣存在前述缺陷。

    “新型病毒的技術(shù)含量并不高，懂安卓的人基本就能造出來，功能簡單卻能造成很大損失?！崩铊F軍稱，由于其病毒行為十分“簡單”，極易偽裝成一般的安卓程序，按照傳統(tǒng)殺毒方法反而不易查殺；他透露，目前運(yùn)用的殺毒方法，主要在用戶短信出現(xiàn)銀行卡、支付、驗證碼等關(guān)鍵字時，自動加密保護(hù)，已經(jīng)初現(xiàn)成效。

    盡管如此，多名第三方支付業(yè)內(nèi)人士表達(dá)了擔(dān)憂，如果增加快捷支付的多重驗證環(huán)節(jié)，勢必會降低快捷優(yōu)勢，進(jìn)而影響到用戶體驗；如何兼顧用戶體驗及賬戶安全性，一直都是業(yè)內(nèi)探討的焦點。



    （編輯：Jesse）