每周質量報告——誰動了我們的支付寶
【演播室】
共同打造高質量的生活�,歡迎收看《每周質量報告》���。有統計數據顯示���,截止到2013年12月����,我國的網購用戶已經超過3億人�����,網購零售市場交易額達到1.8萬億元以上�����。而隨著網絡購物規模的不斷擴大,網絡支付的應用范圍也越來越廣泛�����,隨之而來的安全性問題也就越來越引人關注了�。那么您的網絡支付賬戶到底安不安全呢?針對這個問題我們的記者展開了調查。
【正文】
上海的余小姐在當地一家建材城經營著一個鋁合金門窗店鋪,為了拓展銷售渠道�,從去年年初開始���,她在淘寶網開設了一家網店���,開始把自己店里的門窗產品放到網上銷售�。自從開了網店以后�,店里的銷售增加了不少,這讓余小姐非常高興����。可是去年年底她在自家網店上卻經歷了這樣一件怪事。
【同期】余小姐
他就說我要買的東西呀���,像那個圖片啊,實物啊,尺寸啊都在這個二維碼里面,叫我用那個手機掃一下看就能知道了
【正文】
余小姐想都沒想就將那個二維碼掃進了自己的手機里��,可是�����,就在她掃碼以后���,手機里卻沒有看到那位買家所說的相關信息��。
【同期】余小姐
我就跟他說我說我什么都看不到���,他就說那你把你的電話給我 我跟你本人聯系��,我當時也沒有多想,我就把另外一個手機號就不是我的,我就發給他了,他說我要專門跟你聯系�。 我說那行�,我又把我的手機發給他了 �����,但是過了段時間之后��,他沒有跟我聯系。
【正文】
可就在余小姐吃飯回來以后發現,用自己的手機怎么也登錄不進自己的淘寶帳號了���。
【同期】余小姐
首先是我的手機來看,手機密碼我登進去����,怎么也就說我手機密碼錯誤不正確��,我就有點納悶了我說是不是被人盜了���,我當時有這疑慮了�,我就馬上登到我的那個電腦上去看�,因為電腦是不需要的,因為就網銀是打開的�,我沒有關電腦���,當時我進去一看��,我的三千塊錢沒有了,我當時就感覺受騙了����。
【正文】
讓余小姐沒有想到的是���,不僅僅自己支付寶賬戶里的余額被全部轉走了����,另外一張和支付寶綁定的銀行卡中也有兩千元被轉走了��。
短短不到一個小時的時間�����,余小姐就損失了五千塊錢,這讓她驚慌失措��。她在凍結銀行卡的同時���,第一時間向派出所報了案�����,同時也和支付寶公司取得了聯系���。
支付寶公司的技術人員在分析了余小姐的經歷之后,認為導致余小姐支付寶賬戶被盜的原因��,就出在那個奇怪的二維碼上��。
【同期】支付寶公司安全工程師
她就用手機去拍了這個二維碼���,導致這個手機上面中了一些相關的木馬病毒����,那其實這個木馬����,最大的作用是將您收到的所有的短信同時轉發到盜用者的那個手機上面。
【正文】
二維碼怎么會成為盜取支付寶賬戶的工具呢�?為了弄清楚余小姐的支付寶賬戶到底是怎么被盜的�,記者找到另外一名網絡安全工程師�����,這位工程師證實����,二維碼確實有可能幫助不法分子盜取用戶的相關信息,從而盜取支付寶中的錢財�。
【同期】網絡安全工程師 張浩然
一掃我們看到現在出來一個鏈接��,如果你點擊之后,它就會下載一個手機軟件�,你點安裝���,實際上就是把木馬給安上了���,我這個手機現在是已經安裝完木馬了����,就是一個短信竊取的木馬���,然后呢現在呢我現在手里有兩臺手機���,這臺Iphone就可以看作是黑客的手機����,實際上是這個木馬盜取的這個手機的所有短信�,都被轉到這臺Iphone上了。
【正文】
記者隨后往安裝了木馬程序的手機上發送了一條內容為“中央電視臺節目測試”的短信,隨后發現不僅這臺手機接收到了相關信息,被設定為黑客手機的Iphone上也顯示接收到了記者發來的短信息�。
【同期】網絡安全工程師 張浩然
實際上就是你的短信被他監控了����,你這臺手機收到的短信會被它以短信的形式轉發到黑客的手機上��,就這臺Iphone����,然后如果他用你的手機號或者以你的其他的個人資料去申請重置一些支付賬戶的密碼���,這些驗證短信都會被轉到他的手機上����,就非常危險
【正文】
事實上,在支付寶的轉賬或者交易過程中��,用戶必須要用到支付寶的登陸密碼和交易密碼��,這兩大密碼屬于絕對隱私�,不法分子一般不大可能知曉�����。但是,他們在獲取了用戶身份證信息和與支付寶賬戶綁定的手機號碼信息后�����,卻可以利用支付寶找回密碼的功能重置用戶的這兩大密碼��,這就是不法分子在余小姐掃描二維碼后還問她要手機號碼的原因��。隨后,不法分子再通過惡意二維碼種植木馬程序����,就能截獲在找回密碼過程中本應發到用戶本人手機上的驗證碼���,從而輕而易舉地修改用戶的兩大密碼�����,在用戶不知情的情況下將支付寶里的余額轉走。由于登陸密碼已經被不法分子修改,所以后來余小姐發現異常后登陸不進自己的支付寶賬戶��。但是��,不法分子究竟是怎么獲得她本人身份證�����、手機號這些隱私信息的����,余小姐百思不得其解��。
【同期】支付寶公司安全工程師
還可能會分成AB角��,就是A角來引導你安裝手機木馬���,那B角在過程中會以另外一個比如說假顧客的名義�����,我沒有支付寶那我可能是需要通過銀行給你轉賬的���,麻煩你把銀行的卡號的信息給到我��,那么我給你轉賬,然后馬上會跟著來說���,銀行要求我提供那個被轉賬人的身份證號碼,麻煩你把身份證號碼給到我�����,會有這樣的一個行為����,那么另外一個也有可能就是說,個人的一些信息��,包括名字啊�,身分證號碼已經出現過泄露,那可能再通過互聯網的一個整體的一個黑市上面會有一些相關信息做匹配的一些資料庫����,可以去做一些搜索�����,所以可能會是在這些環節出現了一些相關的泄露。
【正文】
目前�����,支付寶賬戶被盜的用戶遠不止余小姐一人�,對于這些情況�,支付寶公司也并不否認。不過,他們認為,只要用戶在使用過程中提高安全防范意識���,防止重要隱私信息的泄露,賬戶被盜的風險則會降低很多。
【同期】支付寶公司安全工程師
風險發生率應該是在十萬分之一左右�,那這個過程中我們沒辦法去擔保100%所有的用戶的支付寶全部是安全的����,我們現在大多數遇到的這些問題其實用戶本身的安全意識比較低下所以會產生一些包括像個人的信息泄露也好����,包括像收到的手機短信校驗的這種相關的一些核心的信息,出現了相關的泄露
【正文】
此前采訪的一位工程師告訴記者:類似惡意二維碼這樣的木馬鏈接����,雖然不容易被察覺��,但只要多加注意,不隨便掃描來源不明的二維碼�,手機被種植木馬的幾率還相對較小�����。而另外一種利用偽基站詐騙的方式則是將帶有惡意鏈接的短信偽裝成銀行、電信的常用客服號碼發送�,通過誘騙用戶點擊相關鏈接����,上當安裝木馬�,由于具有極大的隱蔽性和欺騙性,一般人很難防范。
隨后����,記者在調查過程中與專家一道發現偽基站發送的短信號碼竟然可以隨便定義��。
【同期】 網絡安全工程師 張浩然
你的手機走進我這個信號范圍之內,就會被這個偽基站吸進來,我這會顯示你的手機這就是你的設備,然后我可以自己定義你的設備�,比如我把你這臺手機Iphone定義成12300�,然后我把這個我這臺設備定義成95588����,然后我可以給你選擇給你發什么短信。
【正文】
將每臺設備的名稱定義好了以后��,工程師編緝了一條內容為“工行電子密碼器即將失效�,請登入某某網站升級維護的”的短信,并發送給了記者的手機����,就在他將電腦上的確認鍵按下的同時��,記者的手機收到了這條短信。而短信的來源上赫然顯示是95588�����,也就是我們日常熟知的工行客服號碼����。
偽基站不僅僅能偽裝成熟悉的客服號碼發送短信誘騙用戶上當,而且,只要手機處在偽基站的控制范圍�,電話號碼的來電顯示都可以在和偽基站相連的電腦上隨意設置�����。
