(见中国地图/互联网照片)最近,许多媒体报道称,用户手机账户中的钱不知何故被挪用,这反映了对支付安全的担忧。
在手机上使用第三方支付只需要一个帐户名称验证码来重置密码,这是一个令人震惊的缺陷。
11月18日,《北京晨报》记者从安全专家那里证实,他们发现了大量截获验证码的特洛伊木马。
它的出现,意味着手机支付防线
开始破裂。它的出现意味着手机支付的防线开始崩溃。
今年5月,金山反病毒工程师李铁军发现了一款可以自动截取手机验证码的色情软件。他想知道它用这个功能做了什么。
十月份,特洛伊木马样本越来越多,几乎造成了灾难。
此外,《中国西部都市报》、《信息时报》和《金陵晚报》相继报道说,许多用户账户中的资金被转移了。
直觉告诉李铁军,这可能与验证码窃贼有关。
我回到病毒数据库寻找样本,当我找到的时候,我发现了20个特洛伊木马作者的邮箱,里面记录了大量被盗的刷记录!每封邮件的数量从几十封到几百封不等。特洛伊木马截取短消息后,会将其直接转发到作者的邮箱。
内容大多是受害者的身份证、手机号码等。还有一些验证码记录,如重设密码、开一家快速银行和付款。
11月初,岐狐360宣布发现了类似的样本。它的工程师告诉《北京晨报》记者,有两种传播渠道。一个是非正式的安卓应用市场、下载站、论坛等。另一种是一对一传输。假装淘宝买家给卖家发送图片来诱导他们扫描和下载是很常见的。
该漏洞表明第三方支付和密码修改的阈值过低。许多用户可能会有点困惑,拦截验证码。账户里的钱怎么转账?李铁军向记者做了一个示范:首先,他用钓鱼来获取账号名称,然后他以找回密码为由更改了新密码。
在当前研究的示例中,特洛伊木马获取密码的唯一方法是检索密码。
一般过程如下:淘宝买家向卖家发送二维码,对方扫描后会弹出一个页面:网络突然中断,需要填写账户名称。中标后,买家和支付宝申请我忘记密码,支付宝会发送手机验证码确认。买家使用木马拦截它,并将其转发到他的邮箱。偷和刷支付宝后,就像从包里拿东西一样。
修改密码一直是支付安全的核心环节,也一直受到银行的重视。
北京晨报的记者了解到,该行在个人电脑端使用u盾硬加密支付。后来,手机变得流行起来。为了简化程序,没有必要用u盾输入验证码。但是,在修改密码的过程中,银行并没有降低门槛:需要到离线网点进行处理。
《北京晨报》记者测试了中国建设银行的手机端,并试图更改密码。他需要持有有效身份证件,注册手机银行账户,到柜台办理相关手续。
但是,第三方只需要用户名验证码来支付和修改密码,这意味着特洛伊木马在得知帐户名时就知道了密码。推出手机绑定服务后,绝大多数用户已经将账户与手机号码绑定,这进一步增加了号码被盗的风险。
电子商务质疑窃取数字的可行性,称发生的可能性非常低。《北京晨报》记者向国内有第三方支付许可的电子商务公司报道,发生的概率非常低。
苏宁安易负责支付的一名工作人员表示,这是用户的SIM卡首次被复制和窃取,以及拦截验证码的方式。
支付宝相关负责人表示,通过截取支付宝的验证码来获取密码是不可行的。
我们不仅查看验证码,还询问其身份证号码。
此外,如果背景识别出用户可能处于危险环境中,它将进一步提高密码修改的阈值。
然而,记者发现这一说法与事实不符:不需要身份证,只需要账户名称验证码。
申请忘记密码后,记者只需输入账户名称,选择手机校验码(30分钟内有效),收到支付宝短信,然后修改新密码即可。整个过程不会超过2分钟。
对于这种盗号木马,国内一家电子商务公司的财务人员发表了评论。目前,用户的支付信息只有两个地方,一个是银行,另一个是第三方支付公司。
相比之下,银行更难偷窃和刷卡,除非你同时丢失手机和银行卡。
51中彩竞猜彩票