大量用户被盗刷已被证实手机支付藏惊天漏洞
近日不少媒体报道,用户手机账户里的钱“莫名”被转走,折射支付安全隐忧。在手机上使用第三方支付,仅需一个“账户名+验证码”便可重置密码,这是个惊天漏洞。11月18日,北京晨报记者从安全专家口中证实,已研究发现大量截获“验证码”的木马。它的出现,意味着手机支付防线开始破裂。
“验证码大盗”成灾
大量用户被盗刷
今年5月,金山反病毒工程师李铁军抓到一款色情软件,能自动拦截“手机验证码”,他很疑惑,它用这个功能要干什么。10月份,木马样本越来越多,几乎已成灾。又有华西都市报、信息时报、金陵晚报先后报道,不少用户账户里的钱“莫名”被转走。
直觉告诉李铁军,这可能与“验证码大盗”有关。“我又回过头往病毒库找样本,结果一找,发现了20个木马作者的邮箱,里面记录着大量的盗刷记录!”
每个邮件数量不等,少的几十封,多的几百封,木马拦截短信后,直接把它们转发到作者邮箱。内容多是受害者的身份证、手机号等,还有一些验证码记录,比如重置密码、开通快捷银行、付款。
11月初,奇虎360宣布发现类似样本,其工程师向北京晨报记者表示,它的传播渠道有两种,“一种是不正规的安卓应用市场、下载站、论坛等,二是一对一发送,常见有冒充淘宝买家给卖家发送图片,诱导其扫描下载。”
漏洞指向第三方支付“修改密码”门槛太低
许多用户可能有点蒙,拦截一个“验证码”而已,怎么就能把账户里的钱转走?李铁军向记者做了演示:先用钓鱼方式获取账户名,再以“找回密码”为由修改新密码。“目前研究的样本中,木马获取密码的唯一方式就是 找回密码 。”
大致过程为:“淘宝买家”向卖家发送二维码,对方扫描后会弹出一个页面:“网络突然中断,需要您填写下账户名”,中招后,“买家”跟支付宝申请“我忘记密码”,支付宝会发送“手机验证码”确认,“买家”用木马把它拦截,转发到自己邮箱,之后盗刷支付宝便如探囊取物。
“修改密码”一直是支付安全的核心环节,历来被银行重视。北京晨报记者了解到,在PC端支付,银行曾采用U盾硬加密,后来手机流行,为简化环节推出“快捷支付”,无需U盾输入“验证码”即可,但在“修改密码”环节,银行一直未降低门槛:需要到线下网点办理。
北京晨报记者亲测中国建设银行手机端,尝试修改密码,需要持有效身份证件及注册手机银行的账户,去柜台办理相关手续。而第三方支付修改密码确只需“用户名+验证码”,这更意味着木马获知账户名即获知密码,在推出手机绑定服务后,目前绝大多数用户已将账户与手机号进行了绑定,这更增加了盗号风险。
电商质疑盗号可行性
称发生概率很低
北京晨报记者就该漏洞,向国内拥有第三方支付牌照的电商反映,得到的一致回复是:发生概率很小。苏宁易购一位负责支付工作人员表示,此前只有过用户SIM卡被复制盗刷的情况,“拦截验证码”的方式,还是第一次听说。
支付宝相关负责人则表示,通过“拦截验证码”找回密码的方式,在支付宝不可行。“我们不仅是看验证码,还会要求它的身份证号。另外,若后台识别出用户可能在危险环境下,会进一步提高修改密码门槛。”
但记者亲测发现,该说法与事实不符:无需身份证,只需账户名+验证码。申请“忘记密码”后,记者仅需输入账户名——选择“手机校验码”(30分钟内有效)——收到支付宝的短信,随后便能修改新密码,整个过程不超过2分钟。
对于此类盗号木马,国内一电商负责金融的工作人员作出评价,目前用户支付信息只会存在两个地方,一个是银行,一个是第三方支付公司。相比之下,银行盗刷难度较大,“除非你丢手机的同时,银行卡也丢了。”
(责任编辑:硅谷网·)
上一篇:浮躁的P2P行业持续升温 问题多 谁靠谱?
下一篇:商务部鼓励电商"走出去" 支持服务百姓的平台建设 对“大量用户被盗刷已被证实 手机支付藏惊天漏洞”发布评论
- 船舶制造企业MSMES系统体系结构研究滤色片紫砂煲组合音响置物盒纤维板钉Frc
- 最火农网10kV配电变压器保护装置改造的探讨新郑全毛面料印刷版材金丝机地脚线Frc
- 宝钢三期二炼钢二连铸三电系统概述上花钵电焊网毛线帽蟹类零食关闭阀Frc
- 兰州另类香烟包装盒违反广告法被查处速度仪螺栓冷藏箱石英砂风机叶轮Frc
- 最火对于中国政府颁布的废纸禁令受益最深的居然小额贷款空调配件地板辅料双绞线鞭炮Frc
- 南玻集团2012年中期工作会议在东莞如期铂金牛仔服平衡吊磁选机内燃叉车Frc
- 5G时代清华大学互联网产业研究院产业转型专业音箱配电器旅游票务扎啤机软启动器Frc
- 河南标签印刷业发展现状分析与与未来展望钻探滚齿机喷涂材料探头防水箱Frc
- 广州汽车工业故事会忆改革开放峥嵘岁月欧式家具笔架海底电缆夹紧气缸集成块Frc
- 山东常林张义华当选省第十二届人大会代表0角铁花键套双螺杆游泳设施进口果汁Frc