病毒攻破最薄弱用户端 第三方支付成重灾区

来源:网易科技-第一财经日报 发布时间:2013-11-25 点击次数:1293

    近日,因手机验证码失窃导致第三方支付账户遭盗刷的事件频发,一种新型手机木马病毒浮出水面。奇虎360(QIHU.NYSE)手机卫士将截获的这款手机木马变种命名为“隐身大盗”。

    昨日,金山软件(03888.HK)反病毒工程师李铁军向《第一财经日报》证实,第三方支付领域是遭遇新型手机木马病毒的重灾区;但这并非支付体系出现的安全漏洞,而是整个支付流程中,最薄弱的用户端被攻破了。

    360安全专家万仁国对记者分析,“隐身大盗”的工作原理是在运行后会对用户短信实施拦截,同时全部以短信的形式转发到黑客手机上,然后才对短信放行,放行后用户才会看到短信提示,也就是说木马是比手机使用者更早看到短信内容的。

    另据分析,“隐身大盗”会对特定短信进行删除,比如黑客在窃取受害者网银账户时的手机验证码等短信,就会被木马直接删除,受害者根本看不到,也不能第一时间发现有人在盗取网银账户。

    “这种病毒的行为其实非常简单,目前的研究样本只是截取短信。”李铁军说,“中了木马病毒、被截获手机验证码,并不会必然造成资金丢失。”李铁军向记者强调,不法分子必须同时获取第三方支付权限,才会盗取资金成功。第一种情况是,用户的身份证号、账号等信息此前在其他渠道遭泄露,不法分子通过多种渠道集齐;第二种则如前述情况,病毒自带钓鱼网站界面,一站式获取所有信息。

    据李铁军透露,从今年5月发现首个木马样本起,截至目前一共发现了500个左右的样本,全部在安卓手机系统里,约有20%自带“钓鱼”网站界面。

    虽然是被动卷入,但由于一些容易被攻破的系统漏洞,再次把支付宝等第三方支付推向舆论焦点。

    “随着技术的发展,欺诈者经常使用欺骗或者二维码,诱使用户下载一个木马APK包,拦截用户的手机短信和验证码。”昨日,一位不愿透露姓名的第三方支付平台高管向记者坦言,目前的第三方支付如果以手机验证码作为唯一校验码,确实存在缺陷。

    “手机验证信息被拦截,还可以轻易通过密码找回功能,修改用户的第三方账户密码。”前述人士表示,以支付宝账户为例,除了盗用支付宝账户中的余额和余额宝中的钱款,如果是商户(卖家)丢失手机,后果可能更加严重;“盗刷者可能使用阿里小贷进行贷款,不仅账户的钱没有了,而且还有欠款需要支付,这样的损失就更大了。”

    “对于任何起因的快捷支付被盗问题,包括木马盗号的问题在内,支付宝用户将获得平安保险100%的赔偿。”支付宝相关负责人昨日向记者回应称,首先,支付宝很早就建立了木马病毒库等,与安全公司合作,共同抵御木马病毒;其次,手机验证码并非唯一校验信息,支付宝实行身份证等多重验证。

    但是,前述高管直言,由于欺诈者只需掌握用户的身份信息,银行卡号,并且能获取手机验证码,就可以成功盗取银行卡中的钱款。值得注意的是,身份信息和银行卡信息属于静态信息,在网络发达和公民身份信息保护薄弱的当下,很容易获得,手机验证码虽然是输入动态信息,但同样存在前述缺陷。

    “新型病毒的技术含量并不高,懂安卓的人基本就能造出来,功能简单却能造成很大损失。”李铁军称,由于其病毒行为十分“简单”,极易伪装成一般的安卓程序,按照传统杀毒方法反而不易查杀;他透露,目前运用的杀毒方法,主要在用户短信出现银行卡、支付、验证码等关键字时,自动加密保护,已经初现成效。

    尽管如此,多名第三方支付业内人士表达了担忧,如果增加快捷支付的多重验证环节,势必会降低快捷优势,进而影响到用户体验;如何兼顾用户体验及账户安全性,一直都是业内探讨的焦点。