近日不少媒體報道，用戶手機賬戶里的錢“莫名”被轉(zhuǎn)走，折射支付安全隱憂。在手機上使用第三方支付，僅需一個“賬戶名+驗證碼”便可重置密碼，這是個驚天漏洞。11月18日，北京晨報記者從安全專家口中證實，已研究發(fā)現(xiàn)大量截獲“驗證碼”的木馬。它的出現(xiàn)，意味著手機支付防線開始破裂。
“驗證碼大盜”成災 大量用戶被盜刷
今年5月，金山反病毒工程師李鐵軍抓到一款色情軟件，能自動攔截“手機驗證碼”，他很疑惑，它用這個功能要干什么？10月份，木馬樣本越來越多，幾乎已成災。又有華西都市報、信息時報、金陵晚報先后報道，不少用戶賬戶里的錢“莫名”被轉(zhuǎn)走。
直覺告訴李鐵軍，這可能與“驗證碼大盜”有關。“我又回過頭往病毒庫找樣本，結(jié)果一找，發(fā)現(xiàn)了20個木馬作者的郵箱，里面記錄著大量的盜刷記錄！”
每個郵件數(shù)量不等，少的幾十封，多的幾百封，木馬攔截短信后，直接把它們轉(zhuǎn)發(fā)到作者郵箱，內(nèi)容多是受害者的身份證、手機號等，還有一些驗證碼記錄，比如重置密碼、開通快捷銀行、付款。
11月初，360宣布發(fā)現(xiàn)類似樣本，其工程師向記者表示，它的傳播渠道有兩種，“一種是不正規(guī)的安卓應用市場、下載站、論壇等，二是一對一發(fā)送，常見有冒充淘寶買家給賣家發(fā)送圖片，誘導其掃描下載”。
漏洞指向第三方支付 “修改密碼”門檻太低
許多用戶可能有點蒙，攔截一個“驗證碼”而已，怎么就能把賬戶里的錢轉(zhuǎn)走？李鐵軍向記者做了演示：先用釣魚方式獲取賬戶名，再以“找回密碼”為由修改新密碼。“目前研究的樣本中，木馬獲取密碼的唯一方式就是找回密碼。”
大致過程為：“淘寶買家”向賣家發(fā)送二維碼，對方掃描后會彈出一個頁面：“網(wǎng)絡突然中斷，需要您填寫下賬戶名。”中招后，“買家”跟支付寶申請“我忘記密碼”，支付寶會發(fā)送“手機驗證碼”確認，“買家”用木馬把它攔截，轉(zhuǎn)發(fā)到自己郵箱，之后盜刷支付寶便如探囊取物。
“修改密碼”一直是支付安全的核心環(huán)節(jié)，歷來被銀行重視。記者了解到，在PC端支付，銀行曾采用U盾硬加密，后來手機流行，為簡化環(huán)節(jié)推出“快捷支付”，無需U盾輸入“驗證碼”即可，但在“修改密碼”環(huán)節(jié)，銀行一直未降低門檻：需要到線下網(wǎng)點辦理。
記者親測中國建設銀行手機端，嘗試修改密碼，需要持有效身份證件及注冊手機銀行的賬戶，去柜臺辦理相關手續(xù)，而第三方支付修改密碼確只需“用戶名+驗證碼”，這更意味著木馬獲知賬戶名即獲知密碼。在推出手機綁定服務后，目前絕大多數(shù)用戶已將賬戶與手機號進行了綁定，這更增加了盜號風險。