近日，因手機驗證碼失竊導致第三方支付賬戶遭盜刷的事件頻發(fā)，一種新型手機木馬病毒浮出水面。奇虎360（QIHU.NYSE）手機衛(wèi)士將截獲的這款手機木馬變種命名為“隱身大盜”。

    昨日，金山軟件（03888.HK）反病毒工程師李鐵軍向《第一財經日報》證實，第三方支付領域是遭遇新型手機木馬病毒的重災區(qū)；但這并非支付體系出現的安全漏洞，而是整個支付流程中，最薄弱的用戶端被攻破了。

    360安全專家萬仁國對記者分析，“隱身大盜”的工作原理是在運行后會對用戶短信實施攔截，同時全部以短信的形式轉發(fā)到黑客手機上，然后才對短信放行，放行后用戶才會看到短信提示，也就是說木馬是比手機使用者更早看到短信內容的。

    另據分析，“隱身大盜”會對特定短信進行刪除，比如黑客在竊取受害者網銀賬戶時的手機驗證碼等短信，就會被木馬直接刪除，受害者根本看不到，也不能第一時間發(fā)現有人在盜取網銀賬戶。

    “這種病毒的行為其實非常簡單，目前的研究樣本只是截取短信?！崩铊F軍說，“中了木馬病毒、被截獲手機驗證碼，并不會必然造成資金丟失?！崩铊F軍向記者強調，不法分子必須同時獲取第三方支付權限，才會盜取資金成功。第一種情況是，用戶的身份證號、賬號等信息此前在其他渠道遭泄露，不法分子通過多種渠道集齊；第二種則如前述情況，病毒自帶釣魚網站界面，一站式獲取所有信息。

    據李鐵軍透露，從今年5月發(fā)現首個木馬樣本起，截至目前一共發(fā)現了500個左右的樣本，全部在安卓手機系統(tǒng)里，約有20%自帶“釣魚”網站界面。

    雖然是被動卷入，但由于一些容易被攻破的系統(tǒng)漏洞，再次把支付寶等第三方支付推向輿論焦點。

    “隨著技術的發(fā)展，欺詐者經常使用欺騙或者二維碼，誘使用戶下載一個木馬APK包，攔截用戶的手機短信和驗證碼?！弊蛉眨晃徊辉竿嘎缎彰牡谌街Ц镀脚_高管向記者坦言，目前的第三方支付如果以手機驗證碼作為唯一校驗碼，確實存在缺陷。

    “手機驗證信息被攔截，還可以輕易通過密碼找回功能，修改用戶的第三方賬戶密碼?！鼻笆鋈耸勘硎?，以支付寶賬戶為例，除了盜用支付寶賬戶中的余額和余額寶中的錢款，如果是商戶（賣家）丟失手機，后果可能更加嚴重；“盜刷者可能使用阿里小貸進行貸款，不僅賬戶的錢沒有了，而且還有欠款需要支付，這樣的損失就更大了?！?br />
    “對于任何起因的快捷支付被盜問題，包括木馬盜號的問題在內，支付寶用戶將獲得平安保險100%的賠償。”支付寶相關負責人昨日向記者回應稱，首先，支付寶很早就建立了木馬病毒庫等，與安全公司合作，共同抵御木馬病毒；其次，手機驗證碼并非唯一校驗信息，支付寶實行身份證等多重驗證。

    但是，前述高管直言，由于欺詐者只需掌握用戶的身份信息，銀行卡號，并且能獲取手機驗證碼，就可以成功盜取銀行卡中的錢款。值得注意的是，身份信息和銀行卡信息屬于靜態(tài)信息，在網絡發(fā)達和公民身份信息保護薄弱的當下，很容易獲得，手機驗證碼雖然是輸入動態(tài)信息，但同樣存在前述缺陷。

    “新型病毒的技術含量并不高，懂安卓的人基本就能造出來，功能簡單卻能造成很大損失?！崩铊F軍稱，由于其病毒行為十分“簡單”，極易偽裝成一般的安卓程序，按照傳統(tǒng)殺毒方法反而不易查殺；他透露，目前運用的殺毒方法，主要在用戶短信出現銀行卡、支付、驗證碼等關鍵字時，自動加密保護，已經初現成效。

    盡管如此，多名第三方支付業(yè)內人士表達了擔憂，如果增加快捷支付的多重驗證環(huán)節(jié)，勢必會降低快捷優(yōu)勢，進而影響到用戶體驗；如何兼顧用戶體驗及賬戶安全性，一直都是業(yè)內探討的焦點。



    （編輯：Jesse）