国产v亚洲v日韩v欧美v中文_国产一区亚洲二区_欧美女人一级黄色录像_真实的国产乱xxxx在线

軟件百科
聯(lián)系我們
聯(lián)系電話

135 2295 6919

135 2295 6919

公司主站W(wǎng)ebsite:

www.controlmeasurement.com

公司主站
電子郵箱

電子郵箱:

qykh2009@163.com

公司地址

公司地址:

北京市朝陽(yáng)區(qū)亞運(yùn)村天創(chuàng)世緣B2座30整層

Software     軟件百科

驗(yàn)證碼木馬:手機(jī)支付現(xiàn)驚天漏洞

分享到:

類別:行業(yè)快訊訪問(wèn)量:2179編輯:admin 日期:2024-11-01 20:58:00

    

       近日不少媒體報(bào)道,用戶手機(jī)賬戶里的錢“莫名”被轉(zhuǎn)走,折射支付安全隱憂。在手機(jī)上使用第三方支付,僅需一個(gè)“賬戶名+驗(yàn)證碼”便可重置密碼,這是個(gè)驚天漏洞。11月18日,北京晨報(bào)記者從安全專家口中證實(shí),已研究發(fā)現(xiàn)大量截獲“驗(yàn)證碼”的木馬。它的出現(xiàn),意味著手機(jī)支付防線開始破裂。

“驗(yàn)證碼大盜”成災(zāi)

大量用戶被盜刷

       今年5月,金山反病毒工程師李鐵軍抓到一款色情軟件,能自動(dòng)攔截“手機(jī)驗(yàn)證碼”,他很疑惑,它用這個(gè)功能要干什么。10月份,木馬樣本越來(lái)越多,幾乎已成災(zāi)。又有華西都市報(bào)、信息時(shí)報(bào)、金陵晚報(bào)先后報(bào)道,不少用戶賬戶里的錢“莫名”被轉(zhuǎn)走。

     直覺(jué)告訴李鐵軍,這可能與“驗(yàn)證碼大盜”有關(guān)?!拔矣只剡^(guò)頭往病毒庫(kù)找樣本,結(jié)果一找,發(fā)現(xiàn)了20個(gè)木馬作者的郵箱,里面記錄著大量的盜刷記錄!”

      每個(gè)郵件數(shù)量不等,少的幾十封,多的幾百封,木馬攔截短信后,直接把它們轉(zhuǎn)發(fā)到作者郵箱。內(nèi)容多是受害者的身份證、手機(jī)號(hào)等,還有一些驗(yàn)證碼記錄,比如重置密碼、開通快捷銀行、付款。

     11月初,奇虎360宣布發(fā)現(xiàn)類似樣本,其工程師向北京晨報(bào)記者表示,它的傳播渠道有兩種,“一種是不正規(guī)的安卓應(yīng)用市場(chǎng)、下載站、論壇等,二是一對(duì)一發(fā)送,常見(jiàn)有冒充淘寶買家給賣家發(fā)送圖片,誘導(dǎo)其掃描下載?!?/p>

     漏洞指向第三方支付 “修改密碼”門檻太低

      許多用戶可能有點(diǎn)蒙,攔截一個(gè)“驗(yàn)證碼”而已,怎么就能把賬戶里的錢轉(zhuǎn)走?李鐵軍向記者做了演示:先用釣魚方式獲取賬戶名,再以“找回密碼”為由修改新密碼?!澳壳把芯康臉颖局校?a href="http://www.controlmeasurement.com/news_det_466.html">木馬獲取密碼的唯一方式就是 找回密碼 。”

      大致過(guò)程為:“淘寶買家”向賣家發(fā)送二維碼,對(duì)方掃描后會(huì)彈出一個(gè)頁(yè)面:“網(wǎng)絡(luò)突然中斷,需要您填寫下賬戶名”,中招后,“買家”跟支付寶申請(qǐng)“我忘記密碼”,支付寶會(huì)發(fā)送“手機(jī)驗(yàn)證碼”確認(rèn),“買家”用木馬把它攔截,轉(zhuǎn)發(fā)到自己郵箱,之后盜刷支付寶便如探囊取物。

      “修改密碼”一直是支付安全的核心環(huán)節(jié),歷來(lái)被銀行重視。北京晨報(bào)記者了解到,在PC端支付,銀行曾采用U盾硬加密,后來(lái)手機(jī)流行,為簡(jiǎn)化環(huán)節(jié)推出“快捷支付”,無(wú)需U盾輸入“驗(yàn)證碼”即可,但在“修改密碼”環(huán)節(jié),銀行一直未降低門檻:需要到線下網(wǎng)點(diǎn)辦理。

      北京晨報(bào)記者親測(cè)中國(guó)建設(shè)銀行手機(jī)端,嘗試修改密碼,需要持有效身份證件及注冊(cè)手機(jī)銀行的賬戶,去柜臺(tái)辦理相關(guān)手續(xù)。而第三方支付修改密碼確只需“用戶名+驗(yàn)證碼”,這更意味著木馬獲知賬戶名即獲知密碼,在推出手機(jī)綁定服務(wù)后,目前絕大多數(shù)用戶已將賬戶與手機(jī)號(hào)進(jìn)行了綁定,這更增加了盜號(hào)風(fēng)險(xiǎn)。

電商質(zhì)疑盜號(hào)可行性

稱發(fā)生概率很低

       北京晨報(bào)記者就該漏洞,向國(guó)內(nèi)擁有第三方支付牌照的電商反映,得到的一致回復(fù)是:發(fā)生概率很小。蘇寧易購(gòu)一位負(fù)責(zé)支付工作人員表示,此前只有過(guò)用戶SIM卡被復(fù)制盜刷的情況,“攔截驗(yàn)證碼”的方式,還是第一次聽說(shuō)。

     支付寶相關(guān)負(fù)責(zé)人則表示,通過(guò)“攔截驗(yàn)證碼”找回密碼的方式,在支付寶不可行?!拔覀儾粌H是看驗(yàn)證碼,還會(huì)要求它的身份證號(hào)。另外,若后臺(tái)識(shí)別出用戶可能在危險(xiǎn)環(huán)境下,會(huì)進(jìn)一步提高修改密碼門檻?!?/p>

       但記者親測(cè)發(fā)現(xiàn),該說(shuō)法與事實(shí)不符:無(wú)需身份證,只需賬戶名+驗(yàn)證碼。申請(qǐng)“忘記密碼”后,記者僅需輸入賬戶名——選擇“手機(jī)校驗(yàn)碼”(30分鐘內(nèi)有效)——收到支付寶的短信,隨后便能修改新密碼,整個(gè)過(guò)程不超過(guò)2分鐘。

      對(duì)于此類盜號(hào)木馬,國(guó)內(nèi)一電商負(fù)責(zé)金融的工作人員作出評(píng)價(jià),目前用戶支付信息只會(huì)存在兩個(gè)地方,一個(gè)是銀行,一個(gè)是第三方支付公司。相比之下,銀行盜刷難度較大,“除非你丟手機(jī)的同時(shí),銀行卡也丟了。”

北京乾元坤和科技有限公司(www.controlmeasurement.com)(北京網(wǎng)站建設(shè),ERP系統(tǒng),OA辦公系統(tǒng),北京軟件開發(fā))網(wǎng)絡(luò)部精心供稿   轉(zhuǎn)載請(qǐng)表明出處.