在手機里植入病毒，再拿到身份證號，就能肆意盜取用戶資金!現在移動支付領域的安全問題頻出，最近又因為微信和手機淘寶在電商領域的爭奪不斷升級，使得業界注意的焦點集中在了二維碼支付安全上。二維碼支付是否安全?記者采訪多位安全專家，他們均表示，問題不是出在二維碼，而是二維碼背后的支付系統是否完善、是否安全。

　　二維碼暗藏木馬要小心

 　　近日，流傳這樣一則消息：嘉興的王女士用手機掃描了一個二維碼，中了木馬病毒，半小時不到自己支付寶賬戶里的18萬元就沒了。記者看到這條消息時，一下子被驚呆了。如今二維碼這么普遍，掃一掃是經常的事情，如果隨便一個二維碼都可能帶毒，那么誰還敢掃一掃呢?

 　　奇虎360網絡安全專家萬仁國向《中國電子報》記者還原了二維碼病毒的真相：“二維碼可以理解為一個鏈接，掃一下就等于打開一個頁面或者APK的下載鏈接。王女士掃二維碼是無法實現直接運行木馬的，除非是她自己點了安裝，運行了下載的木馬APK才會中招。如果王女士確實通過二維碼安裝了軟件，很可能是中了最常見的‘隱身大盜’木馬。該木馬會讀取手機號碼，并攔截轉發網銀、網上支付的驗證碼短信給黑客。”

 　　萬仁國介紹，此類手機木馬盜取網上支付資金的一般流程是這樣的：第一步，誘騙受害者掃描二維碼安裝手機木馬。第二步，木馬后臺運行提取用戶手機號發送給黑客。第三步，獲取受害者身份證號(通過手機號、姓名等線索搜集受害者泄露的身份證號，或偽造一個賬戶驗證界面誘騙受害者自己輸入身份證號)。

 　　第四步，黑客使用手機驗證碼申請找回登錄密碼，登陸賬戶;第五步，黑客使用手機驗證碼+身份證號找回支付密碼;第六步，盜刷。

 　　但是，萬仁國強調，黑客只有在已經掌握了汪女士身份證號碼的前提下，才能夠修改汪女士的支付寶密碼，才能完成后續盜取資金的動作，因為支付寶的規則是需要同時填寫“支付寶賬號+驗證碼短信+身份證號”。手機木馬能夠竊取手機號(即支付寶賬號)和驗證碼短信，但無法直接獲取受害者的身份證號碼。因此現在一些木馬開始偽裝熱門APP，以驗證賬戶的名義誘騙受害者輸入身份證號。

 　　除了手機木馬，二維碼攻擊還能通過“釣魚”方式完成。萬仁國繼續假設，如果用戶掃描二維碼后打開了一個仿冒支付寶的釣魚網頁，在頁面上輸入提交了自己的支付寶賬號和密碼，那么這樣也會造成支付寶密碼泄露。

 　　解釋到這里，我們也許會覺得奇怪：掃一掃不是微信的功能嗎?直接盜取微信賬號和密碼、支付密碼不是更方便?為什么還轉而去盜取支付寶賬號密碼呢?中國物聯網產業協會信息安全總監申子熹告訴《中國電子報》記者，黑客會選擇有資金的賬戶作案，如果微信賬號綁定用戶的銀行卡，那么也會成為黑客盯上的目標。

 　　網秦手機安全專家夏然也向《中國電子報》記者介紹了二維碼的特性：“二維碼具備隱蔽性，用戶無法識別其二維碼的下載鏈接是否安全，有些含有惡意軟件的二維碼掃描過后就直接進入下載頁面。如果用戶不小心點擊下載，那么手機就會被安裝惡意軟件，面臨隱私被竊取、惡意扣費等后果。”

　　二維碼后臺系統很關鍵

 　　當前，二維碼支付應用十分普遍。夏然告訴《中國電子報》記者，除了利用微信里的二維碼掃描支付功能外，還有一些其他比較普遍的手機支付軟件，比如支付寶手機客戶端二維碼掃描支付功能、快拍二維碼等一些手機二維碼掃描軟件，基本上都可以實現二維碼掃描支付的功能。

 　　之所以在手機等移動終端如此普遍地使用二維碼支付，申子熹解釋道：“在更好的客戶體驗和更便捷的支付上，二維碼是首選。因為用戶已經接受了手機二維碼的存在。”

 　　而事實上，二維碼所能存儲的信息有限。據了解，用戶通過二維碼生成器可以很簡單地將一個網頁或者下載鏈接生成一個二維碼。“它本身的作用是存一些文本數據(URL文本)，并不能直接實現某些功能。”申子熹表示，“只不過是為了提升客戶體驗，是個噱頭。”

 　　這也就意味著，二維碼本身是不帶病毒的，“不是二維碼不安全，也不是說二維碼支付有問題，關鍵是看后臺系統怎么設計。”他補充，“例如，在微信支付中，微信通過自己的協議對URL內容進行解析，鏈接到支付網關實現支付功能。這種認證的實現方式其實跟微信的公共平臺接入的實現方式有異曲同工之處。現在微信公眾平臺的接口是公開的，未來微信支付平臺也會向商家公開，而接口公開就存在被攻擊的可能性。”

 　　申子熹還指出，互聯網金融興起的今天，各種形式的支付模式應運而生，但是大家考慮業務實現的時候卻還在延用之前的一些老舊技術，這些技術理論上存在瓶頸，容易被攻破。

　　安裝安全軟件防中招

 　　不單單是手機支付軟件存在被偽造的可能，二維碼本身也有可能被偽造。那么，如何防止二維碼鏈接病毒中招呢?

 　　夏然建議，用戶選擇支付商家時一定要確認商家的可信度，最好提前使用安全軟件驗證二維碼是否已經被病毒編寫者利用。例如“網秦安全7.0”就提供惡意二維碼掃描識別功能。同時“網秦安全”的“賬戶保鏢”在需要用戶輸入賬號密碼等個人信息時，對手機的軟件、鏈接網絡等環境進行安全檢查，也能保護用戶的支付寶、淘寶、微信、微博等賬號的安全。

 　　萬仁國也建議，首先要從正規渠道下載APP;其次對別人發來的APP、鏈接和二維碼不要隨便掃描、點擊和安裝;最后是注意保護個人資料安全，慎填身份證號等個人信息，使用一些安全產品，例如“360手機衛士”，開啟“隱私行為監控”功能，攔截最新木馬、攔截木馬偷發短信等行為，以及用360安全瀏覽器上網來防范釣魚網站等。

 　　“網絡欺詐之所以頻繁發生，最根本的問題在于受害者的信息泄露給了攻擊者。除了手機木馬中毒泄露信息之外，用戶儲存在第三方數據庫中的信息泄露也是很大的問題。”萬仁國表示。

 　　不久前，某知名連鎖酒店信息系統被黑客攻擊，造成住店客人身份證號、手機號等個人信息大量泄露，這已經給未來發生更多的個人資金被盜事件埋下了深深的隱患。

 　　談到此事，萬仁國指出，支付安全一定是系統工程，需要主管機構、支付機構和用戶多方一齊努力，才能最大限度實現支付安全。我們希望銀行、支付公司、安全廠商、商家等鏈條上的各個角色能夠更加深入地展開合作，也需要相關政府部門更加嚴厲地打擊網絡犯罪分子，形成威懾效應，才能真正有效地降低支付風險。