近日，因手機(jī)驗(yàn)證碼失竊導(dǎo)致第三方支付賬戶遭盜刷的事件頻發(fā)，一種新型手機(jī)木馬病毒浮出水面。奇虎360（QIHU.NYSE）手機(jī)衛(wèi)士將截獲的這款手機(jī)木馬變種命名為“隱身大盜”。

    昨日，金山軟件（03888.HK）反病毒工程師李鐵軍向《第一財(cái)經(jīng)日?qǐng)?bào)》證實(shí)，第三方支付領(lǐng)域是遭遇新型手機(jī)木馬病毒的重災(zāi)區(qū)；但這并非支付體系出現(xiàn)的安全漏洞，而是整個(gè)支付流程中，最薄弱的用戶端被攻破了。

    360安全專家萬仁國對(duì)記者分析，“隱身大盜”的工作原理是在運(yùn)行后會(huì)對(duì)用戶短信實(shí)施攔截，同時(shí)全部以短信的形式轉(zhuǎn)發(fā)到黑客手機(jī)上，然后才對(duì)短信放行，放行后用戶才會(huì)看到短信提示，也就是說木馬是比手機(jī)使用者更早看到短信內(nèi)容的。

    另據(jù)分析，“隱身大盜”會(huì)對(duì)特定短信進(jìn)行刪除，比如黑客在竊取受害者網(wǎng)銀賬戶時(shí)的手機(jī)驗(yàn)證碼等短信，就會(huì)被木馬直接刪除，受害者根本看不到，也不能第一時(shí)間發(fā)現(xiàn)有人在盜取網(wǎng)銀賬戶。

    “這種病毒的行為其實(shí)非常簡單，目前的研究樣本只是截取短信?！崩铊F軍說，“中了木馬病毒、被截獲手機(jī)驗(yàn)證碼，并不會(huì)必然造成資金丟失?！崩铊F軍向記者強(qiáng)調(diào)，不法分子必須同時(shí)獲取第三方支付權(quán)限，才會(huì)盜取資金成功。第一種情況是，用戶的身份證號(hào)、賬號(hào)等信息此前在其他渠道遭泄露，不法分子通過多種渠道集齊；第二種則如前述情況，病毒自帶釣魚網(wǎng)站界面，一站式獲取所有信息。

    據(jù)李鐵軍透露，從今年5月發(fā)現(xiàn)首個(gè)木馬樣本起，截至目前一共發(fā)現(xiàn)了500個(gè)左右的樣本，全部在安卓手機(jī)系統(tǒng)里，約有20%自帶“釣魚”網(wǎng)站界面。

    雖然是被動(dòng)卷入，但由于一些容易被攻破的系統(tǒng)漏洞，再次把支付寶等第三方支付推向輿論焦點(diǎn)。

    “隨著技術(shù)的發(fā)展，欺詐者經(jīng)常使用欺騙或者二維碼，誘使用戶下載一個(gè)木馬APK包，攔截用戶的手機(jī)短信和驗(yàn)證碼。”昨日，一位不愿透露姓名的第三方支付平臺(tái)高管向記者坦言，目前的第三方支付如果以手機(jī)驗(yàn)證碼作為唯一校驗(yàn)碼，確實(shí)存在缺陷。

    “手機(jī)驗(yàn)證信息被攔截，還可以輕易通過密碼找回功能，修改用戶的第三方賬戶密碼?！鼻笆鋈耸勘硎荆灾Ц秾氋~戶為例，除了盜用支付寶賬戶中的余額和余額寶中的錢款，如果是商戶（賣家）丟失手機(jī)，后果可能更加嚴(yán)重；“盜刷者可能使用阿里小貸進(jìn)行貸款，不僅賬戶的錢沒有了，而且還有欠款需要支付，這樣的損失就更大了?！?br />
    “對(duì)于任何起因的快捷支付被盜問題，包括木馬盜號(hào)的問題在內(nèi)，支付寶用戶將獲得平安保險(xiǎn)100%的賠償?！敝Ц秾毾嚓P(guān)負(fù)責(zé)人昨日向記者回應(yīng)稱，首先，支付寶很早就建立了木馬病毒庫等，與安全公司合作，共同抵御木馬病毒；其次，手機(jī)驗(yàn)證碼并非唯一校驗(yàn)信息，支付寶實(shí)行身份證等多重驗(yàn)證。

    但是，前述高管直言，由于欺詐者只需掌握用戶的身份信息，銀行卡號(hào)，并且能獲取手機(jī)驗(yàn)證碼，就可以成功盜取銀行卡中的錢款。值得注意的是，身份信息和銀行卡信息屬于靜態(tài)信息，在網(wǎng)絡(luò)發(fā)達(dá)和公民身份信息保護(hù)薄弱的當(dāng)下，很容易獲得，手機(jī)驗(yàn)證碼雖然是輸入動(dòng)態(tài)信息，但同樣存在前述缺陷。

    “新型病毒的技術(shù)含量并不高，懂安卓的人基本就能造出來，功能簡單卻能造成很大損失。”李鐵軍稱，由于其病毒行為十分“簡單”，極易偽裝成一般的安卓程序，按照傳統(tǒng)殺毒方法反而不易查殺；他透露，目前運(yùn)用的殺毒方法，主要在用戶短信出現(xiàn)銀行卡、支付、驗(yàn)證碼等關(guān)鍵字時(shí)，自動(dòng)加密保護(hù)，已經(jīng)初現(xiàn)成效。

    盡管如此，多名第三方支付業(yè)內(nèi)人士表達(dá)了擔(dān)憂，如果增加快捷支付的多重驗(yàn)證環(huán)節(jié)，勢(shì)必會(huì)降低快捷優(yōu)勢(shì)，進(jìn)而影響到用戶體驗(yàn)；如何兼顧用戶體驗(yàn)及賬戶安全性，一直都是業(yè)內(nèi)探討的焦點(diǎn)。



    （編輯：Jesse）