病毒攻破最薄弱用(yòng)戶端 第三方支付成重災區(qū)
來源:網易科(kē)技(jì )-第一财經日報 發布時間:2013-11-25 點擊次數:1310
近日,因手機驗證碼失竊導緻第三方支付賬戶遭盜刷的事件頻發,一種新(xīn)型手機木(mù)馬病毒浮出水面。奇虎360(QIHU.NYSE)手機衛士将截獲的這款手機木(mù)馬變種命名(míng)為(wèi)“隐身大盜”。
昨日,金山(shān)軟件(03888.HK)反病毒工(gōng)程師李鐵軍向《第一财經日報》證實,第三方支付領域是遭遇新(xīn)型手機木(mù)馬病毒的重災區(qū);但這并非支付體(tǐ)系出現的安(ān)全漏洞,而是整個支付流程中(zhōng),最薄弱的用(yòng)戶端被攻破了。
360安(ān)全專家萬仁國(guó)對記者分(fēn)析,“隐身大盜”的工(gōng)作(zuò)原理(lǐ)是在運行後會對用(yòng)戶短信實施攔截,同時全部以短信的形式轉發到黑客手機上,然後才對短信放行,放行後用(yòng)戶才會看到短信提示,也就是說木(mù)馬是比手機使用(yòng)者更早看到短信内容的。
另據分(fēn)析,“隐身大盜”會對特定短信進行删除,比如黑客在竊取受害者網銀賬戶時的手機驗證碼等短信,就會被木(mù)馬直接删除,受害者根本看不到,也不能(néng)第一時間發現有(yǒu)人在盜取網銀賬戶。
“這種病毒的行為(wèi)其實非常簡單,目前的研究樣本隻是截取短信。”李鐵軍說,“中(zhōng)了木(mù)馬病毒、被截獲手機驗證碼,并不會必然造成資金丢失。”李鐵軍向記者強調,不法分(fēn)子必須同時獲取第三方支付權限,才會盜取資金成功。第一種情況是,用(yòng)戶的身份證号、賬号等信息此前在其他(tā)渠道遭洩露,不法分(fēn)子通過多(duō)種渠道集齊;第二種則如前述情況,病毒自帶釣魚網站界面,一站式獲取所有(yǒu)信息。
據李鐵軍透露,從今年5月發現首個木(mù)馬樣本起,截至目前一共發現了500個左右的樣本,全部在安(ān)卓手機系統裏,約有(yǒu)20%自帶“釣魚”網站界面。
雖然是被動卷入,但由于一些容易被攻破的系統漏洞,再次把支付寶等第三方支付推向輿論焦點。
“随着技(jì )術的發展,欺詐者經常使用(yòng)欺騙或者二維碼,誘使用(yòng)戶下載一個木(mù)馬APK包,攔截用(yòng)戶的手機短信和驗證碼。”昨日,一位不願透露姓名(míng)的第三方支付平台高管向記者坦言,目前的第三方支付如果以手機驗證碼作(zuò)為(wèi)唯一校驗碼,确實存在缺陷。
“手機驗證信息被攔截,還可(kě)以輕易通過密碼找回功能(néng),修改用(yòng)戶的第三方賬戶密碼。”前述人士表示,以支付寶賬戶為(wèi)例,除了盜用(yòng)支付寶賬戶中(zhōng)的餘額和餘額寶中(zhōng)的錢款,如果是商(shāng)戶(賣家)丢失手機,後果可(kě)能(néng)更加嚴重;“盜刷者可(kě)能(néng)使用(yòng)阿裏小(xiǎo)貸進行貸款,不僅賬戶的錢沒有(yǒu)了,而且還有(yǒu)欠款需要支付,這樣的損失就更大了。”
“對于任何起因的快捷支付被盜問題,包括木(mù)馬盜号的問題在内,支付寶用(yòng)戶将獲得平安(ān)保險100%的賠償。”支付寶相關負責人昨日向記者回應稱,首先,支付寶很(hěn)早就建立了木(mù)馬病毒庫等,與安(ān)全公(gōng)司合作(zuò),共同抵禦木(mù)馬病毒;其次,手機驗證碼并非唯一校驗信息,支付寶實行身份證等多(duō)重驗證。
但是,前述高管直言,由于欺詐者隻需掌握用(yòng)戶的身份信息,銀行卡号,并且能(néng)獲取手機驗證碼,就可(kě)以成功盜取銀行卡中(zhōng)的錢款。值得注意的是,身份信息和銀行卡信息屬于靜态信息,在網絡發達和公(gōng)民(mín)身份信息保護薄弱的當下,很(hěn)容易獲得,手機驗證碼雖然是輸入動态信息,但同樣存在前述缺陷。
“新(xīn)型病毒的技(jì )術含量并不高,懂安(ān)卓的人基本就能(néng)造出來,功能(néng)簡單卻能(néng)造成很(hěn)大損失。”李鐵軍稱,由于其病毒行為(wèi)十分(fēn)“簡單”,極易僞裝(zhuāng)成一般的安(ān)卓程序,按照傳統殺毒方法反而不易查殺;他(tā)透露,目前運用(yòng)的殺毒方法,主要在用(yòng)戶短信出現銀行卡、支付、驗證碼等關鍵字時,自動加密保護,已經初現成效。
盡管如此,多(duō)名(míng)第三方支付業内人士表達了擔憂,如果增加快捷支付的多(duō)重驗證環節,勢必會降低快捷優勢,進而影響到用(yòng)戶體(tǐ)驗;如何兼顧用(yòng)戶體(tǐ)驗及賬戶安(ān)全性,一直都是業内探讨的焦點。
昨日,金山(shān)軟件(03888.HK)反病毒工(gōng)程師李鐵軍向《第一财經日報》證實,第三方支付領域是遭遇新(xīn)型手機木(mù)馬病毒的重災區(qū);但這并非支付體(tǐ)系出現的安(ān)全漏洞,而是整個支付流程中(zhōng),最薄弱的用(yòng)戶端被攻破了。
360安(ān)全專家萬仁國(guó)對記者分(fēn)析,“隐身大盜”的工(gōng)作(zuò)原理(lǐ)是在運行後會對用(yòng)戶短信實施攔截,同時全部以短信的形式轉發到黑客手機上,然後才對短信放行,放行後用(yòng)戶才會看到短信提示,也就是說木(mù)馬是比手機使用(yòng)者更早看到短信内容的。
另據分(fēn)析,“隐身大盜”會對特定短信進行删除,比如黑客在竊取受害者網銀賬戶時的手機驗證碼等短信,就會被木(mù)馬直接删除,受害者根本看不到,也不能(néng)第一時間發現有(yǒu)人在盜取網銀賬戶。
“這種病毒的行為(wèi)其實非常簡單,目前的研究樣本隻是截取短信。”李鐵軍說,“中(zhōng)了木(mù)馬病毒、被截獲手機驗證碼,并不會必然造成資金丢失。”李鐵軍向記者強調,不法分(fēn)子必須同時獲取第三方支付權限,才會盜取資金成功。第一種情況是,用(yòng)戶的身份證号、賬号等信息此前在其他(tā)渠道遭洩露,不法分(fēn)子通過多(duō)種渠道集齊;第二種則如前述情況,病毒自帶釣魚網站界面,一站式獲取所有(yǒu)信息。
據李鐵軍透露,從今年5月發現首個木(mù)馬樣本起,截至目前一共發現了500個左右的樣本,全部在安(ān)卓手機系統裏,約有(yǒu)20%自帶“釣魚”網站界面。
雖然是被動卷入,但由于一些容易被攻破的系統漏洞,再次把支付寶等第三方支付推向輿論焦點。
“随着技(jì )術的發展,欺詐者經常使用(yòng)欺騙或者二維碼,誘使用(yòng)戶下載一個木(mù)馬APK包,攔截用(yòng)戶的手機短信和驗證碼。”昨日,一位不願透露姓名(míng)的第三方支付平台高管向記者坦言,目前的第三方支付如果以手機驗證碼作(zuò)為(wèi)唯一校驗碼,确實存在缺陷。
“手機驗證信息被攔截,還可(kě)以輕易通過密碼找回功能(néng),修改用(yòng)戶的第三方賬戶密碼。”前述人士表示,以支付寶賬戶為(wèi)例,除了盜用(yòng)支付寶賬戶中(zhōng)的餘額和餘額寶中(zhōng)的錢款,如果是商(shāng)戶(賣家)丢失手機,後果可(kě)能(néng)更加嚴重;“盜刷者可(kě)能(néng)使用(yòng)阿裏小(xiǎo)貸進行貸款,不僅賬戶的錢沒有(yǒu)了,而且還有(yǒu)欠款需要支付,這樣的損失就更大了。”
“對于任何起因的快捷支付被盜問題,包括木(mù)馬盜号的問題在内,支付寶用(yòng)戶将獲得平安(ān)保險100%的賠償。”支付寶相關負責人昨日向記者回應稱,首先,支付寶很(hěn)早就建立了木(mù)馬病毒庫等,與安(ān)全公(gōng)司合作(zuò),共同抵禦木(mù)馬病毒;其次,手機驗證碼并非唯一校驗信息,支付寶實行身份證等多(duō)重驗證。
但是,前述高管直言,由于欺詐者隻需掌握用(yòng)戶的身份信息,銀行卡号,并且能(néng)獲取手機驗證碼,就可(kě)以成功盜取銀行卡中(zhōng)的錢款。值得注意的是,身份信息和銀行卡信息屬于靜态信息,在網絡發達和公(gōng)民(mín)身份信息保護薄弱的當下,很(hěn)容易獲得,手機驗證碼雖然是輸入動态信息,但同樣存在前述缺陷。
“新(xīn)型病毒的技(jì )術含量并不高,懂安(ān)卓的人基本就能(néng)造出來,功能(néng)簡單卻能(néng)造成很(hěn)大損失。”李鐵軍稱,由于其病毒行為(wèi)十分(fēn)“簡單”,極易僞裝(zhuāng)成一般的安(ān)卓程序,按照傳統殺毒方法反而不易查殺;他(tā)透露,目前運用(yòng)的殺毒方法,主要在用(yòng)戶短信出現銀行卡、支付、驗證碼等關鍵字時,自動加密保護,已經初現成效。
盡管如此,多(duō)名(míng)第三方支付業内人士表達了擔憂,如果增加快捷支付的多(duō)重驗證環節,勢必會降低快捷優勢,進而影響到用(yòng)戶體(tǐ)驗;如何兼顧用(yòng)戶體(tǐ)驗及賬戶安(ān)全性,一直都是業内探讨的焦點。
Copyright © 2025 嘉興經信電(diàn)子商(shāng)務(wù)技(jì )術有(yǒu)限公(gōng)司 版權所有(yǒu)
京ICP證000000号
浙公(gōng)網安(ān)備 33040202000409号
增值電(diàn)信業務(wù)經營許可(kě)證:浙B2-20120040