每周质量报告——谁动了我们的支付宝

　　【演播室】

　　共同打造高质量的生活，欢迎收看《每周质量报告》。有统计数据显示，截止到2013年12月，我国的网购用户已经超过3亿人，网购零售市场交易额达到1.8万亿元以上。而随着网络购物规模的不断扩大，网络支付的应用范围也越来越广泛，随之而来的安全性问题也就越来越引人关注了。那么您的网络支付账户到底安不安全呢？针对这个问题我们的记者展开了调查。

　　【正文】

　　上海的余小姐在当地一家建材城经营着一个铝合金门窗店铺，为了拓展销售渠道，从去年年初开始，她在淘宝网开设了一家网店，开始把自己店里的门窗产品放到网上销售。自从开了网店以后，店里的销售增加了不少，这让余小姐非常高兴。可是去年年底她在自家网店上却经历了这样一件怪事。

　　【同期】余小姐

　　他就说我要买的东西呀，像那个图片啊，实物啊，尺寸啊都在这个二维码里面，叫我用那个手机扫一下看就能知道了

　　【正文】

　　余小姐想都没想就将那个二维码扫进了自己的手机里，可是，就在她扫码以后，手机里却没有看到那位买家所说的相关信息。

　　【同期】余小姐

　　我就跟他说我说我什么都看不到，他就说那你把你的电话给我 我跟你本人联系，我当时也没有多想，我就把另外一个手机号就不是我的，我就发给他了，他说我要专门跟你联系。 我说那行，我又把我的手机发给他了 ，但是过了段时间之后，他没有跟我联系。

　　【正文】

　　可就在余小姐吃饭回来以后发现，用自己的手机怎么也登录不进自己的淘宝帐号了。

　　【同期】余小姐

　　首先是我的手机来看，手机密码我登进去，怎么也就说我手机密码错误不正确，我就有点纳闷了我说是不是被人盗了，我当时有这疑虑了，我就马上登到我的那个电脑上去看，因为电脑是不需要的，因为就网银是打开的，我没有关电脑，当时我进去一看，我的三千块钱没有了，我当时就感觉受骗了。

　　【正文】

　　让余小姐没有想到的是，不仅仅自己支付宝账户里的余额被全部转走了，另外一张和支付宝绑定的银行卡中也有两千元被转走了。

　　短短不到一个小时的时间，余小姐就损失了五千块钱，这让她惊慌失措。她在冻结银行卡的同时，第一时间向派出所报了案，同时也和支付宝公司取得了联系。

　　支付宝公司的技术人员在分析了余小姐的经历之后，认为导致余小姐支付宝账户被盗的原因，就出在那个奇怪的二维码上。

　　【同期】支付宝公司安全工程师

　　她就用手机去拍了这个二维码，导致这个手机上面中了一些相关的木马病毒，那其实这个木马，最大的作用是将您收到的所有的短信同时转发到盗用者的那个手机上面。

　　【正文】

　　二维码怎么会成为盗取支付宝账户的工具呢？为了弄清楚余小姐的支付宝账户到底是怎么被盗的，记者找到另外一名网络安全工程师，这位工程师证实，二维码确实有可能帮助不法分子盗取用户的相关信息，从而盗取支付宝中的钱财。

　　【同期】网络安全工程师 张浩然

　　一扫我们看到现在出来一个链接，如果你点击之后，它就会下载一个手机软件，你点安装，实际上就是把木马给安上了，我这个手机现在是已经安装完木马了，就是一个短信窃取的木马，然后呢现在呢我现在手里有两台手机，这台Iphone就可以看作是黑客的手机，实际上是这个木马盗取的这个手机的所有短信，都被转到这台Iphone上了。

　　【正文】

　　记者随后往安装了木马程序的手机上发送了一条内容为“中央电视台节目测试”的短信，随后发现不仅这台手机接收到了相关信息，被设定为黑客手机的Iphone上也显示接收到了记者发来的短信息。

　　【同期】网络安全工程师 张浩然

　　实际上就是你的短信被他监控了，你这台手机收到的短信会被它以短信的形式转发到黑客的手机上，就这台Iphone，然后如果他用你的手机号或者以你的其他的个人资料去申请重置一些支付账户的密码，这些验证短信都会被转到他的手机上，就非常危险

　　【正文】

　　事实上，在支付宝的转账或者交易过程中，用户必须要用到支付宝的登陆密码和交易密码，这两大密码属于绝对隐私，不法分子一般不大可能知晓。但是，他们在获取了用户身份证信息和与支付宝账户绑定的手机号码信息后，却可以利用支付宝找回密码的功能重置用户的这两大密码，这就是不法分子在余小姐扫描二维码后还问她要手机号码的原因。随后，不法分子再通过恶意二维码种植木马程序，就能截获在找回密码过程中本应发到用户本人手机上的验证码，从而轻而易举地修改用户的两大密码，在用户不知情的情况下将支付宝里的余额转走。由于登陆密码已经被不法分子修改，所以后来余小姐发现异常后登陆不进自己的支付宝账户。但是，不法分子究竟是怎么获得她本人身份证、手机号这些隐私信息的，余小姐百思不得其解。

　　【同期】支付宝公司安全工程师

　　还可能会分成AB角，就是A角来引导你安装手机木马，那B角在过程中会以另外一个比如说假顾客的名义，我没有支付宝那我可能是需要通过银行给你转账的，麻烦你把银行的卡号的信息给到我，那么我给你转账，然后马上会跟着来说，银行要求我提供那个被转账人的身份证号码，麻烦你把身份证号码给到我，会有这样的一个行为，那么另外一个也有可能就是说，个人的一些信息，包括名字啊，身分证号码已经出现过泄露，那可能再通过互联网的一个整体的一个黑市上面会有一些相关信息做匹配的一些资料库，可以去做一些搜索，所以可能会是在这些环节出现了一些相关的泄露。

　　【正文】

　　目前，支付宝账户被盗的用户远不止余小姐一人，对于这些情况，支付宝公司也并不否认。不过，他们认为，只要用户在使用过程中提高安全防范意识，防止重要隐私信息的泄露，账户被盗的风险则会降低很多。

　　【同期】支付宝公司安全工程师

　　风险发生率应该是在十万分之一左右，那这个过程中我们没办法去担保100%所有的用户的支付宝全部是安全的，我们现在大多数遇到的这些问题其实用户本身的安全意识比较低下所以会产生一些包括像个人的信息泄露也好，包括像收到的手机短信校验的这种相关的一些核心的信息，出现了相关的泄露

　　【正文】

　　此前采访的一位工程师告诉记者：类似恶意二维码这样的木马链接，虽然不容易被察觉，但只要多加注意，不随便扫描来源不明的二维码，手机被种植木马的几率还相对较小。而另外一种利用伪基站诈骗的方式则是将带有恶意链接的短信伪装成银行、电信的常用客服号码发送，通过诱骗用户点击相关链接，上当安装木马，由于具有极大的隐蔽性和欺骗性，一般人很难防范。

　　随后，记者在调查过程中与专家一道发现伪基站发送的短信号码竟然可以随便定义。

　　【同期】 网络安全工程师 张浩然

　　你的手机走进我这个信号范围之内，就会被这个伪基站吸进来，我这会显示你的手机这就是你的设备，然后我可以自己定义你的设备，比如我把你这台手机Iphone定义成12300，然后我把这个我这台设备定义成95588，然后我可以给你选择给你发什么短信。

　　【正文】

　　将每台设备的名称定义好了以后，工程师编缉了一条内容为“工行电子密码器即将失效，请登入某某网站升级维护的”的短信，并发送给了记者的手机，就在他将电脑上的确认键按下的同时，记者的手机收到了这条短信。而短信的来源上赫然显示是95588，也就是我们日常熟知的工行客服号码。

　　伪基站不仅仅能伪装成熟悉的客服号码发送短信诱骗用户上当，而且，只要手机处在伪基站的控制范围，电话号码的来电显示都可以在和伪基站相连的电脑上随意设置。