支付寶手機支付藏驚天漏洞 大量用戶被盜刷(圖)
(看中國配圖/網路圖片)
【看中國2013年11月23日訊】近日不少媒體報導,用戶手機賬戶裡的錢「莫名」被轉走,折射支付安全隱憂。在手機上使用第三方支付,僅需一個「賬戶名 驗證碼」便可重置密碼,這是個驚天漏洞。11月18日,北京晨報記者從安全專家口中證實,已研究發現大量截獲「驗證碼」的木馬。它的出現,意味著手機支付防線開始破裂。
「驗證碼大盜」成災 大量用戶被盜刷
今年5月,金山反病毒工程師李鐵軍抓到一款色情軟體,能自動攔截「手機驗證碼」,他很疑惑,它用這個功能要幹什麼。10月份,木馬樣本越來越多,幾乎已成災。又有華西都市報、信息時報、金陵晚報先後報導,不少用戶賬戶裡的錢「莫名」被轉走。
直覺告訴李鐵軍,這可能與「驗證碼大盜」有關。「我又回過頭往病毒庫找樣本,結果一找,發現了20個木馬作者的郵箱,裡面記錄著大量的盜刷記錄!」
每個郵件數量不等,少的幾十封,多的幾百封,木馬攔截簡訊後,直接把它們轉發到作者郵箱。內容多是受害者的身份證、手機號等,還有一些驗證碼記錄,比如重置密碼、開通快捷銀行、付款。
11月初,奇虎360宣布發現類似樣本,其工程師向北京晨報記者表示,它的傳播渠道有兩種,「一種是不正規的安卓應用市場、下載站、論壇等,二是一對一發送,常見有冒充淘寶買家給賣家發送圖片,誘導其掃瞄下載。」
漏洞指向第三方支付 「修改密碼」門檻太低
許多用戶可能有點蒙,攔截一個「驗證碼」而已,怎麼就能把賬戶裡的錢轉走?李鐵軍向記者做了演示:先用釣魚方式獲取賬戶名,再以「找回密碼」為由修改新密碼。「目前研究的樣本中,木馬獲取密碼的唯一方式就是 找回密碼 。」
大致過程為:「淘寶買家」向賣家發送二維碼,對方掃瞄後會彈出一個頁面:「網路突然中斷,需要您填寫下賬戶名」,中招後,「買家」跟支付寶申請「我忘記密碼」,支付寶會發送「手機驗證碼」確認,「買家」用木馬把它攔截,轉發到自己郵箱,之後盜刷支付寶便如探囊取物。
「修改密碼」一直是支付安全的核心環節,歷來被銀行重視。北京晨報記者瞭解到,在PC端支付,銀行曾採用U盾硬加密,後來手機流行,為簡化環節推出「快捷支付」,無需U盾輸入「驗證碼」即可,但在「修改密碼」環節,銀行一直未降低門檻:需要到線下網點辦理。
北京晨報記者親測中國建設銀行手機端,嘗試修改密碼,需要持有效身份證件及註冊手機銀行的賬戶,去櫃檯辦理相關手續。而第三方支付修改密碼確只需「用戶名 驗證碼」,這更意味著木馬獲知賬戶名即獲知密碼,在推出手機綁定服務後,目前絕大多數用戶已將賬戶與手機號進行了綁定,這更增加了盜號風險。
電商質疑盜號可行性 稱發生概率很低
北京晨報記者就該漏洞,向國內擁有第三方支付牌照的電商反映,得到的一致回覆是:發生概率很小。蘇寧易購一位負責支付工作人員表示,此前只有過用戶SIM卡被複製盜刷的情況,「攔截驗證碼」的方式,還是第一次聽說。
支付寶相關負責人則表示,通過「攔截驗證碼」找回密碼的方式,在支付寶不可行。「我們不僅是看驗證碼,還會要求它的身份證號。另外,若後臺識別出用戶可能在危險環境下,會進一步提高修改密碼門檻。」
但記者親測發現,該說法與事實不符:無需身份證,只需賬戶名 驗證碼。申請「忘記密碼」後,記者僅需輸入賬戶名——選擇「手機校驗碼」(30分鐘內有效)——收到支付寶的簡訊,隨後便能修改新密碼,整個過程不超過2分鐘。
對於此類盜號木馬,國內一電商負責金融的工作人員作出評價,目前用戶支付信息只會存在兩個地方,一個是銀行,一個是第三方支付公司。相比之下,銀行盜刷難度較大,「除非你丟手機的同時,銀行卡也丟了。」