央视曝光移动支付诈骗：扫下二维码就中木马

【演播室】

无论是通过恶意的二维码扫描，还是通过伪基站发送假冒银行客服短信，不法分子的目的都是诱骗用户安装木马程序，从而控制你的手机、获取你的信息，进而盗取你网络支付账户当中的钱财。现在啊，智能手机也在不断普及，移动支付凭借快捷和便利的优点，受到越来越多用户的青睐，但是在调查中记者却发现，这种新兴的移动支付也同样面临着安全隐患。

【正文】

无论从余小姐离奇的经历，还是记者调查中发现的恶意二维码和伪基站诱骗用户上当的过程，我们都不难发现，不法分子费尽心机，最终的目的就是为了诱使用户在手机上安装木马程序，从而截获得用户手机所接收的和支付相关的验证短信。现实支付过程中，验证短信就相当于一把开启移动支付的“安全钥匙”，有了它，绑定银行卡、修改密码、确认支付等等繁琐的流程都可以通过一个带有验证码的短信轻松得以实现，但是，这把“安全钥匙”的防范功能真的有那么强大吗？在调查中，记者和专家发现，一些平时常用的应用软件就存在着将验证短信这把“安全钥匙”泄露的风险。

【同期】移动支付安全专家 李晓东

这个程序可能是你实际安装的一个游戏，或者是任何一个应用软件，这些应用软件呢，它可能提取你的短信信息，你的联系人信息，等等这些信息，但是呢这些信息的隐私呢，你并不知道它提取到什么程度，意味着什么比方说我们往另一部手机发一个支付确认密码，好，发出去了，这部手机呢收到新的短信了，收到这个支付短信了，好，我的支付密码是123456，那这是在我手机里面收到的这个短信信息，那我回到我的应用，这个演示的应用程序里边，那这个短信呢我激活，那么显示的我的这个支付密码是123456，也就是说我的这个应用是可以抓到你所有的这个支付短信，我是知道你的支付密码的。

【正文】

专家告诉记者，只要手机安全软件提示有读取用户隐私行为的各种应用软件，理论上都能看到手机上的短信、联系人等重要的隐私信息，只不过看这些软件的开发商用不用于非法用途罢了。专业人员指出，这种提示在大多数的应用软件安装时，手机安全防护软件都会有提醒，只不过几乎没有用户会在意。而从目前的手机支付软件本身来说也存在一定的安全漏洞。

【同期】移动支付安全专家 李晓东

目前呢我认为主要的这个安全隐患有两个方面，第一方面是手机本身是不安全的，很多用户对手机的不安全是未知的，很多这个风险是他不知道的，第二个方面，是本身在支付流程上不完善，我们现有的流程仅靠短信码完成跟自己的卡绑定，来完成金融产品的购买，那这个我认为是一个比较大的漏洞

【正文】

虽然目前看来，要完成一次在移动支付端的账户盗刷，仅仅依靠手机验证码还不够，其他如身份信息、手机信息等需要同时被掌握才能成功实施，但这些重要信息的获得也并非难事，因此，手机短信验证码尽管有其安全认证的作用，并且简单、方便、快捷，但它容易被窃取的漏洞也不容忽视。

事实上，移动支付能得以实现，主要是在用户、第三方支付平台和银行之间形成了一个的通路，在这个通路的三个主要方面中，银行和第三方支付平台之间由于是通过银行特许的专线接口来进行连接的，外界基本上是没有办法侵入，但在第三方支付平台和用户之间的认证，则一般通过身份认证、密码认证和短信认证以及预设问题认证等方式进行付款的安全认证，一旦这些认证被层层突破，用户的资金安全将受到极大威胁。而在目前，如果要将PC机用来保证网银支付安全的数字证书这项成熟技术移植到手机端，同时还要继续保留移动支付简单、方便的特性，在技术层面上还没有新突破。因此，相关专业人士呼吁，作为第三方支付平台，需要加强对异常支付行为的监控。

【同期】手机安全专家 万仁国

这个可能就需要企业自身去分析这些数据，到底那些是异常哪些不是异常的，就是既不影响用户的使用，又能保证这个用户的安全，用户的信息除了说这个网站加强安全性以外呢，其实我们目前国家也在法律层面在加强，就是说禁止贩卖个人的信息，那么在公司呢，或者说某些这个机构里面，也要加强用户资料的这么一个保管，防止说内部人员利用手中的职权，将这个信息给贩卖出去。