日前,市民周先生收到某银行发来的4条短信,显示他的网银账户在4分钟内通过支付宝快捷方式分4笔共支出3万元。他赶紧登录网上银行,发现卡里的钱确实“蒸发”了。让他百思不得其解的是,他分明给银行卡绑定了手机短信验证码,可是一条验证短信都没到,钱就被刷走了。问题究竟出在哪?
记者从国内网络安全公司获悉,目前有一种专门针对安卓手机的木马病毒,正在通过二维码或apk文件传播,它能够拦截用户手机短信中有关网银或第三方支付网站发送的验证码等关键信息,神不知鬼不觉地盗取网银资金。
网上支付保险锁,自行“消失”
周先生的遭遇并不是个案。在刚刚过去的“双11”网购狂欢送中,网上也有不少人反映,他们在没有收到手机短信验证码的情况下,网银账户被人盗刷,或者第三方支付账户出现了异常。
一位名为“老虎家三小姐”的网友在新浪微博上透露,其网银账户在11月3日被人分三笔盗走1.1万元,不仅手机短信验证码没收到,连银行短信都没有。网购卖家也不幸中招,有报道称家住浙江诸暨的淘宝卖家钱女士在向买家介绍产品时,刷了客户提供的一个二维码,结果支付宝账号被盗,对方用她的支付宝账号向阿里小贷贷款1.1万元,本来应该接收到的手机短信验证码,并没有收到。
手机短信验证码,原本应该让网上支付更安全、更保险,为何这道保险锁自行“消失”了?
“验证码大盗”,专盯安卓手机
记者就此现象咨询了国内多家网络安全公司。
金山手机毒霸安全专家李铁军表示,公司在今年7月就已经拦截了这一现象并进行了调查,发现受害者在资金被盗之前,大多有使用手机扫描二维码,或者接收、安装不明apk文件的经历。这些二维码或apk文件中隐藏了一种新型的木马病毒,它能够拦截受害者手机短信中有关网银或第三方支付网站发送的验证码等关键信息,进而盗取网银资金,而受害者毫无察觉。金山毒霸将这类病毒取名为“验证码大盗”,并分析了近200个验证码大盗。值得一提的是,被盗取验证码的手机,无一例外是安卓手机。
360手机卫士和网秦日前也分别截获名为“隐身大盗”和“窥私大盗”的手机木马变种,这类木马启动后会自动隐藏图标,并伪装成系统应用在后台偷偷运行,窃取手机系统信息、通讯录、短信等发送给黑客,重点窃取网银支付等验证短信,直接威胁受害者网银和网上支付安全。
“意外”损失,大多无赔偿保障
上述情况暴露出网上支付多了一个新的安全隐患:就算设了手机短信验证码,也未必安全。那用户由此出现的损失该由谁来负责?
对此,记者咨询了银行人士,中国银行湖南省分行电子银行部杨经理表示,目前并没有碰到过这种现象,甚至都没听说过。渤海银行长沙分行电子银行部门的相关负责人也表示不知情。各大运营商更是觉得跟这个事情没有直接关系。
不过,也有第三方支付平台推出了先行赔付政策。如支付宝就挂出通知,“使用支付宝快捷支付、余额宝、余额支付发生被盗造成的资金损失,支付宝一律给予全额先行补偿。”(记者 杨田风 梁兴)
小贴士
多重保险 提升安全
不要随意安装第三方论坛的apk文件,不要轻易扫描来历不明的二维码。
在支付环节尽可能进行多重验证。在浏览器中填写任何信息,在支付结束后要立即清除浏览数据,最好不要勾选“保存账户和密码”选项。
安装手机应用时要看清权限,假如一款游戏应用,权限要读取手机通讯录、通话记录、短消息等肯定是没必要的,所以最好不要同意。
用户在设置手机屏保密码的基础上,对某些敏感应用可以二次加密,多重保险。