摘 要：隨著二維碼的廣泛應(yīng)用，通過(guò)掃描二維碼下載手機(jī)程序成為快捷的下載手段。第三方支付平臺(tái)通過(guò)短信驗(yàn)證碼的方式來(lái)重置密碼給支付平臺(tái)的安全帶來(lái)了嚴(yán)重的隱患。通過(guò)對(duì)二維碼、手機(jī)木馬、第三方支付平臺(tái)重置密碼過(guò)程的分析，給出了支付平臺(tái)被盜用的過(guò)程和防范措施。

關(guān)鍵詞：二維碼；手機(jī)木馬；第三方支付

中圖分類號(hào)：TP311.52

2013年11月，江蘇開(kāi)網(wǎng)店的汪女生掃描了客戶發(fā)過(guò)來(lái)的二維碼之后，支付寶中的資金被盜用，造成了18萬(wàn)元的經(jīng)濟(jì)損失。我們不禁要問(wèn)，一個(gè)小小的二維碼，何以造成支付寶被盜用？其中的緣由到底是什么呢？

1 關(guān)于二維碼

二維碼[1]（2-dimensional bar code），又稱二維條碼，最早起源于日本，它是用特定的幾何、圖形按一定規(guī)律在平面（二維方向）上分布的黑白相間的圖形，是所有信息數(shù)據(jù)的一把鑰匙。我們現(xiàn)在網(wǎng)絡(luò)上常見(jiàn)的碼制是QR_CODE。二維碼的制作非常簡(jiǎn)單，我們可以在百度上搜索二維碼在線生成，就可以將文本信息、網(wǎng)址、文件、手機(jī)程序的下載地址、圖片等制作成二維碼。Android手機(jī)平臺(tái)下的程序安裝包后綴為apk，圖1為用安卓手機(jī)軟件“正點(diǎn)日歷”的下載地址http：//cdn.market.hiapk.com/data/upload//2013/12_18/16/com.zdworks.android.zdcalendar_163835.apk制作的二維碼。通過(guò)手機(jī)二維碼掃描軟件掃描后會(huì)自動(dòng)出現(xiàn)下載頁(yè)面，提示用戶下載。

圖1

二維碼只是信息的一種編碼方式，從原理上講，其本身并不包含病毒，但可以將釣魚(yú)網(wǎng)站的網(wǎng)址或惡意手機(jī)程序的下載地址制作成二維碼誘騙手機(jī)用戶掃描，從而達(dá)到非法目的。

2 手機(jī)木馬-驗(yàn)證碼大盜[2]

金山毒霸安全中心發(fā)現(xiàn)，受害者資金被盜之前，大多有使用安卓手機(jī)掃描二維碼，或者使用安卓手機(jī)接收、安裝不明apk文件的經(jīng)歷，這些二維碼或apk文件中隱藏了一種新型的木馬病毒，它能夠攔截受害者手機(jī)短信中有關(guān)網(wǎng)銀或第三方支付網(wǎng)站發(fā)送的驗(yàn)證碼等關(guān)鍵信息，通過(guò)短信或郵箱轉(zhuǎn)發(fā)給不法分子，而受害者卻毫無(wú)察覺(jué)。金山毒霸將這類病毒取名為“驗(yàn)證碼大盜”。

360手機(jī)衛(wèi)士和網(wǎng)秦日前也分別截獲名為“隱身大盜”和“窺私大盜”的手機(jī)木馬變種，這類木馬啟動(dòng)后會(huì)自動(dòng)隱藏圖標(biāo)，并偽裝成系統(tǒng)應(yīng)用在后臺(tái)偷偷運(yùn)行，竊取手機(jī)系統(tǒng)信息、通訊錄、短信等發(fā)送給黑客，重點(diǎn)竊取網(wǎng)銀支付等驗(yàn)證短信，直接威脅受害者網(wǎng)銀和網(wǎng)上支付安全。

3 第三方支付的重置密碼

第三方支付平臺(tái)，例如淘寶、支付寶[3]等給網(wǎng)上購(gòu)物帶來(lái)了極大的便利，但第三方支付平臺(tái)的重置密碼功能給不法分子帶來(lái)了可乘之機(jī)。圖2為支付寶的登錄界面，登錄名為用戶手機(jī)號(hào)或者郵箱。下面有“忘記登錄密碼？”的鏈接。

圖2

點(diǎn)擊“忘記登錄密碼？”的鏈接后進(jìn)入下面的頁(yè)面。

圖3

輸入用戶手機(jī)號(hào)碼和驗(yàn)證碼后，點(diǎn)擊“下一步”，進(jìn)入下面的頁(yè)面。

圖4

點(diǎn)擊“立即找回”進(jìn)入下面的頁(yè)面。

圖5

點(diǎn)擊“點(diǎn)此免費(fèi)獲取”按鈕后，支付寶平臺(tái)就會(huì)發(fā)給手機(jī)一個(gè)含有驗(yàn)證碼的短信，通過(guò)輸入驗(yàn)證碼和身份證號(hào)碼后就可以在忘記登錄密碼的情況下重置登錄密碼了。通過(guò)上面對(duì)支付寶平臺(tái)重置密碼的過(guò)程分析，我們看到支付平臺(tái)的安全關(guān)鍵就在于用戶手機(jī)上獲得的驗(yàn)證碼短信，而手機(jī)號(hào)碼和身份證號(hào)這些信息很容易泄露。支付寶賬號(hào)的支付密碼同樣可以通過(guò)上述方法進(jìn)行重置。而淘寶賬戶的重置密碼只需要手機(jī)短信中的驗(yàn)證碼，連身份證號(hào)碼都不用輸入。

4 盜刷流程分析

不法分子首先通過(guò)誘騙手機(jī)用戶掃描二維碼來(lái)達(dá)到在用戶手機(jī)上安裝“驗(yàn)證碼大盜”手機(jī)木馬的目的，然后通過(guò)第三方支付平臺(tái)的重置密碼功能試圖重置用戶的登錄密碼和支付密碼，在這期間，用戶手機(jī)上的木馬程序會(huì)把收到的驗(yàn)證碼短信轉(zhuǎn)發(fā)到不法分子的手機(jī)上，不法分子輸入驗(yàn)證碼即可重置登錄密碼，用相同的流程重置支付密碼，至此，不法分子就接管了用戶的網(wǎng)上支付功能。

5 安全防范措施

從以上的分析可見(jiàn)，第三方支付平臺(tái)重置密碼功能安全的關(guān)鍵是用戶的賬號(hào)信息、身份證號(hào)碼、短信驗(yàn)證碼信息。所以應(yīng)從以下幾方面來(lái)加強(qiáng)安全防范[4]：（1）個(gè)人信息的保密，包括手機(jī)號(hào)碼、身份證號(hào)碼、郵箱賬號(hào)等。（2）不要輕易掃描陌生人發(fā)過(guò)來(lái)的二維碼進(jìn)行手機(jī)軟件安裝，不從個(gè)人站點(diǎn)下載安裝手機(jī)程序。（3）安裝手機(jī)安全軟件，例如360手機(jī)安全衛(wèi)士、金山手機(jī)毒霸、騰訊手機(jī)管家等，對(duì)不明網(wǎng)址和軟件進(jìn)行安全檢測(cè)。

6 結(jié)束語(yǔ)

二維碼的廣泛應(yīng)用給手機(jī)用戶帶來(lái)便利的同時(shí)，也給不法分子可乘之機(jī)。我們?cè)谑褂檬謾C(jī)掃碼的時(shí)候要提高安全意識(shí)，安裝手機(jī)安全軟件幫助我們攔截手機(jī)木馬程序。同時(shí)在使用第三方支付的時(shí)候更要提高警惕，注意個(gè)人信息的保密，確保資金安全。

參考文獻(xiàn)：

[1]張茹，劉明業(yè).二維條碼在信息安全領(lǐng)域的應(yīng)用研究[J].計(jì)算機(jī)工程與科學(xué).2004年02期.

[2]新華網(wǎng).http：//economy.jschina.com.cn/system/2013/11/22/019387588.shtml.

[3]張小琴.第三方支付風(fēng)險(xiǎn)的分析及監(jiān)管[J].青海金融，2011（09）.

[4]支付寶登錄首頁(yè).https：//www.alipay.com/.

作者簡(jiǎn)介：李寶友（1975.03-），男，河北撫寧人，中學(xué)一級(jí)教師，本科，主要從事計(jì)算機(jī)教學(xué)；張志廣（1975.08-），男，河北撫寧人，講師，碩士，主要從事網(wǎng)絡(luò)安全和軟件開(kāi)發(fā)的研究。

作者單位：撫寧縣職教中心 電大部，河北秦皇島 066300；河北科技師范學(xué)院 數(shù)學(xué)與信息科技學(xué)院，河北秦皇島 066004