【反病毒】第三方支付领域成新型木蚂重灾区：用户端被病毒攻破

浦北网安

   近日，因手机验证码失窃导致第三方支付账户遭盗刷的事件频发，一种新型手机木蚂病毒浮出水面。奇虎360手机卫士将截获的这款手机木蚂变种命名为“隐身大盗”。

   昨日，金山软件反病毒工程师李铁军向记者证实，第三方支付领域是遭遇新型手机木蚂病毒的重灾区；但这并非支付体系出现的安全漏洞，而是整个支付流程中，最薄弱的用户端被攻破了。

360安全专家万仁国对记者分析，“隐身大盗”的工作原理是在运行后会对用户短信实施拦截，同时全部以短信的形式转发到黑客手机上，然后才对短信放行，放行后用户才会看到短信提示，也就是说木蚂是比手机使用者更早看到短信内容的。

   另据分析，“隐身大盗”会对特定短信进行删除，比如黑客在窃取受害者网银账户时的手机验证码等短信，就会被木蚂直接删除，受害者根本看不到，也不能第一时间发现有人在盗取网银账户。

   “这种病毒的行为其实非常简单，目前的研究样本只是截取短信。”李铁军说，“中了木蚂病毒、被截获手机验证码，并不会必然造成资金丢失。”李铁军向记者强调，不法分子必须同时获取第三方支付权限，才会盗取资金成功。第一种情况是，用户的身份证号、账号等信息此前在其他渠道遭泄露，不法分子通过多种渠道集齐；第二种则如前述情况，病毒自带钓鱼网站界面，一站式获取所有信息。

   据李铁军透露，从今年5月发现首个木蚂样本起，截至目前一共发现了500个左右的样本，全部在安卓手机系统里，约有20%自带“钓鱼”网站界面。

虽然是被动卷入，但由于一些容易被攻破的系统漏洞，再次把支付宝等第三方支付推向舆论焦点。

   “随着技术的发展，欺诈者经常使用欺骗或者二维码，诱使用户下载一个木蚂APK包，拦截用户的手机短信和验证码。”昨日，一位不愿透露姓名的第三方支付平台高管向记者坦言，目前的第三方支付如果以手机验证码作为唯一校验码，确实存在缺陷。

   “手机验证信息被拦截，还可以轻易通过密码找回功能，修改用户的第三方账户密码。”前述人士表示，以支付宝账户为例，除了盗用支付宝账户中的余额和余额宝中的钱款，如果是商户（卖家）丢失手机，后果可能更加严重；“盗刷者可能使用阿里小贷进行贷款，不仅账户的钱没有了，而且还有欠款需要支付，这样的损失就更大了。”

   “对于任何起因的快捷支付被盗问题，包括木蚂盗号的问题在内，支付宝用户将获得平安保险100%的赔偿。”支付宝相关负责人昨日向记者回应称，首先，支付宝很早就建立了木蚂病毒库等，与安全公司合作，共同抵御木蚂病毒；其次，手机验证码并非唯一校验信息，支付宝实行身份证等多重验证。

   但是，前述高管直言，由于欺诈者只需掌握用户的身份信息，银行卡号，并且能获取手机验证码，就可以成功盗取银行卡中的钱款。值得注意的是，身份信息和银行卡信息属于静态信息，在网络发达和公民身份信息保护薄弱的当下，很容易获得，手机验证码虽然是输入动态信息，但同样存在前述缺陷。

   “新型病毒的技术含量并不高，懂安卓的人基本就能造出来，功能简单却能造成很大损失。”李铁军称，由于其病毒行为十分“简单”，极易伪装成一般的安卓程序，按照传统杀毒方法反而不易查杀；他透露，目前运用的杀毒方法，主要在用户短信出现银行卡、支付、验证码等关键字时，自动加密保护，已经初现成效。

    尽管如此，多名第三方支付业内人士表达了担忧，如果增加快捷支付的多重验证环节，势必会降低快捷优势，进而影响到用户体验；如何兼顾用户体验及账户安全性，一直都是业内探讨的焦点。