掃一掃，就能打開店鋪網(wǎng)頁;掃一掃，就能快捷支付……只需用手機(jī)對著二維碼掃一掃，就能加微信、裝軟件、發(fā)名片，甚至網(wǎng)上購物，讓生活變得更簡單、更時髦。但在看到二維碼便捷性的同時，不少人往往忽略了二維碼的來源可靠性。

近日，市民王先生在掃描二維碼后，其支付寶和余額寶竟被悄無聲息地轉(zhuǎn)走了11000多元。專家分析，這背后可能是一種手機(jī)木馬病毒在作祟。警方提醒，提高自身安全意識，不要見“碼”就掃。

陌生“二維碼”掃走萬元

王先生是一家網(wǎng)店店主。11月17日16時17分，正在店內(nèi)打理生意的他，突然收到一條陌生人通過旺旺(淘寶的一種即時通信軟件)發(fā)給他的二維碼消息。

作為網(wǎng)店店主，平時經(jīng)常會接收到陌生人詢問店鋪商品等的信息，二維碼也在網(wǎng)店銷售中經(jīng)常使用。所以王先生看到二維碼也沒在意，只用自己的手機(jī)掃描了一下。手機(jī)網(wǎng)頁很卡，等了約一分鐘，網(wǎng)頁也沒有顯示出來，王先生沒在意，就將手機(jī)擱置在一邊。

沒想到半小時后，王先生存在余額寶上的8000多元不翼而飛，支付寶賬戶密碼也被重置篡改。此外，與支付寶綁定的銀行卡內(nèi)有近3000元存款也被人轉(zhuǎn)走。

根本不需要手機(jī)校驗碼

王先生大驚之下十分納悶。按照常理來說，支付寶或余額寶的每筆支出都應(yīng)該輸入支付密碼和手機(jī)校驗碼確認(rèn)，但王先生從來就沒收到過校驗信息，錢怎么就被轉(zhuǎn)走了呢?“每支出一筆款，哪怕就一分錢，手機(jī)上應(yīng)該要收到一個臨時的六位數(shù)校驗碼，然后必須輸入這個校驗碼才能成功交易，但當(dāng)時我什么都沒收到。”

個別人利用程序漏洞謀利

王先生的個案中，盡管最后支付寶與平安產(chǎn)險合作，為王先生給予了全額先行賠付，但是專家認(rèn)為，盜號事件頻發(fā)說明現(xiàn)在手機(jī)軟件支付使用安全性仍有待提高。

復(fù)旦斐訊系統(tǒng)安全技術(shù)研究中心主任楊珉坦言，隨著近年來手機(jī)軟件的飛速發(fā)展，使用的人群越來越多，但是與此相應(yīng)的防范軟件卻沒有跟上。“系統(tǒng)都是程序員設(shè)計的，在設(shè)計過程中會不可避免地出現(xiàn)這樣那樣的漏洞，而這些一般人看不出來的漏洞對于個別‘有心人’來說，卻是他們孜孜不倦去尋找并且可以加以利用的。”

為什么掃一下錢就沒了

木馬病毒藏身二維碼內(nèi)

為什么只是掃了下二維碼，王先生的手機(jī)就被“黑”了，支付寶內(nèi)的錢款也都被卷走了呢?

楊珉分析，王先生掃二維碼點開的鏈接很有可能已經(jīng)被植入隱身大盜手機(jī)木馬的病毒。二維碼本身只是一個網(wǎng)址，這個網(wǎng)址可能是指向了一個惡意軟件的下載地址，安裝完以后這個軟件就會在終端上或者在手機(jī)上模擬用戶操作支付寶賬戶的種種行為，用戶手機(jī)里的身份證、銀行卡、支付寶密碼等信息都會被竊取。“這個時候賬戶就不是你自己的了，不法分子會通過重置密碼的方式，‘劫持’你的個人支付寶賬戶。”隨后的轉(zhuǎn)賬就變得輕而易舉。

楊珉還表示，現(xiàn)今高級的木馬軟件安裝成功后，并不會在桌面上顯示任何圖標(biāo)，而是直接“潛伏”進(jìn)入手機(jī)后臺軟件，對手機(jī)不甚了解的用戶很容易就會“中招”。

王先生密碼如何被篡改

可能事先掌握用戶身份證信息

不僅賬戶密碼被盜，犯罪分子還大膽地篡改了王先生的密碼，這又是如何做到的?記者登錄支付寶頁面發(fā)現(xiàn)，輸入賬戶后，選擇“忘記密碼”，隨后會進(jìn)入密碼找回頁面。如果選擇“手機(jī)校驗碼”找回密碼，只需要十秒鐘，就能順利重置密碼。

對此，支付寶方面稱，要重置賬戶密碼絕對不會只需一條手機(jī)校驗碼這么簡單，如果識別出用戶可能處在有風(fēng)險的操作環(huán)境下，支付寶會提高修改密碼的驗證門檻。經(jīng)過內(nèi)部調(diào)查，當(dāng)天王先生的支付寶密碼在重置時除了要求驗證碼還需要身份證號碼。由此推斷，王先生的身份信息可能早已被泄露。“這個找回王先生賬戶密碼的盜用者一定是知道了他的身份證信息和他的手機(jī)校驗碼才能做到的。”

如何繞過手機(jī)校驗碼

云端軟件“吞掉”校驗碼

考慮到支付安全問題，支付寶或余額寶的每筆支出除了必須輸入支付密碼外，王先生手機(jī)應(yīng)該還會收到一個系統(tǒng)臨時生成的6位手機(jī)校驗碼。兩者皆在才能順利完成支付。但王先生表示，自己從來就沒收到過校驗信息，騙子又是如何繞過這個校驗碼的呢?

楊珉解釋，犯罪分子應(yīng)該是有目標(biāo)下手的，“他一定了解王先生是一名淘寶店店主，因此發(fā)來的木馬軟件也是具有針對性的，專門針對支付寶等此類支付軟件。”他進(jìn)一步解釋，木馬程序中還包含一個云端軟件，不僅能獲取王先生的信息，還能截取支付寶平臺發(fā)來的校驗碼。“校驗碼是直接被軟件‘吞’了，用戶壓根就收不到，也不會發(fā)現(xiàn)自己賬戶出現(xiàn)異常。”

怎么避免類似事件

安裝防護(hù)軟件檢測木馬

警方對此建議，市民可以安裝相應(yīng)的防護(hù)軟件。

目前，騰訊、360等公司已經(jīng)推出帶安全監(jiān)測功能的二維碼檢測工具，手機(jī)用戶掃描二維碼后，可以自動檢測二維碼中是否包含惡意網(wǎng)站、手機(jī)木馬或惡意軟件的下載鏈接，降低手機(jī)用戶在掃碼后感染惡意軟件、訪問惡意網(wǎng)站的風(fēng)險。“市民不要盲目隨便掃描來歷不明的二維碼，對于路邊廣告、廣告宣傳單、不明網(wǎng)站的二維碼，應(yīng)當(dāng)提高警惕。使用手機(jī)二維碼在線購物、支付時，更要保持警惕，看清網(wǎng)站域名，不要輕易點擊反復(fù)彈出的小窗口頁面，不要輕易向他人透露自己的身份信息。同時，如果手機(jī)和銀行卡綁定，不要在銀行卡內(nèi)儲存過大數(shù)額的資金，避免發(fā)生連鎖反應(yīng)。”