验证码大盗

2013年11月，多家安全厂商发现，一种专门针对安卓手机的木马病毒，正在通过二维码或apk文件传播，它能够拦截用户手机短信中有关网银或第三方支付网站发送的验证码等关键信息，盗取受害者网银资金

1、病毒描述

2013年11月，多起用户资金被盗事件发生，而这些事件中都有一个统一特点，用户没有收到支付宝或者银行发来的任何验证信息。金山毒霸安全中心经过调查发现，受害者资金被盗之前，大多有使用安卓手机扫描二维码，或者使用安卓手机接收、安装不明apk文件的经历，这些二维码或apk文件中隐藏了一种新型的木马病毒，它能够拦截受害者手机短信中有关网银或第三方支付网站发送的验证码等关键信息，进而盗取网银资金，而受害者毫无察觉。金山毒霸将这类病毒取名为“验证码大盗”。

据金山毒霸安全专家李铁军介绍，通过分析近200个验证码大盗，发现有的是直接拦截所有手机短信到黑客的手机上，这时受害者手机将无法收到任何短信；有的只拦截含“银行、验证码、支付”等关键字的短信，这种拦截更加隐蔽，等受害者发现异常时，银行卡余额已被洗劫。

只凭短信验证码，银行卡和支付账户里的钱怎么会丢呢？李铁军说，手机短信实际成为网银支付、快捷支付的重要验证方式。网银功能的开通、支付工具的登录和消费，很多都使用手机短信验证身份，手机被安装了拦截短信的木马，就相当于把手机交给了别人。而这个控制你手机的人，又通过其他渠道获得受害者网银或第三方支付信息，比如，有些突出便利性的信用卡在网上支付的时候，只需要填写卡号末四位和验证码，“验证码大盗”等木马病毒很容易就能拦截到这类短信。既有账号，又有关键的验证码，你的银行账户相当于一个打开的钱包，完全暴露在他人面前。手机短信验证码的有效期一般是10分钟，黑客有足够的时间进行恶意支付。

2、案例分析

2013年11月10日深夜，上海宝山区的一位周先生在睡梦中连续收到银行发来的4条短消息，显示他的某个银行网银账户在4分钟内通过支付宝快捷支付方式分四笔支出总计3万元，让周先生不解的是，此前绑定手机的短信验证码，他一条也没有收到。

一位名为“老虎家三小姐”的网友也在新浪微博上透露，其网银账户在2013年11月3日被人分三笔盗走1.1万元，不仅手机短信验证码没收到，连银行短信都没有。

中招的不限于网购买家，家住浙江诸暨的淘宝卖家钱女士在向买家介绍产品时，刷了客户提供的一个二维码，结果支付宝账号被盗，对方用她的支付宝账号向阿里小贷贷款1.1万元。山东一位淘宝卖家的支付宝账号被盗后，黑客买家用他的支付宝账号向阿里小贷贷款5000元。他们都发现，本来应该接收到的手机短信验证码，没有发送到他们绑定的手机号码。

虽然支付宝方面按照承诺先行赔付了被盗账户，但这些案例暴露出网上支付一个新的安全隐患：手机短信验证码未必安全。

3、专家建议

支付宝方面表示，没有哪一种支付方式100%安全，支付宝的风险是十万分之一。从几起失窃案件来看，受害者既有网购买家，也有卖家，黑客以“产品细节图”或“订单详情”等做诱饵，引诱受害者在手机上点击链接或二维码，而被盗取验证码的手机，无一例外是安卓手机。

对此，安全专家表示，除了在手机上安装安全产品进行必要的查杀和拦截，以及不要随意安装第三方论坛的apk文件或ROM刷机包，用户还必须养成良好的手机使用习惯，不要一味追求便利，还是要将安全放在首位。

首先，不要轻易扫描来历不明的二维码，二维码已经成为手机木马病毒传播的一条重要渠道。

其次，如有可能，在支付环节尽可能进行多重验证。比如有客户有两部手机，在用手机购物的时候，一部用于购物，另一部用于接收验证码，防止被人“一锅端”。

当某些支付需要从客户端软件跳转到手机浏览器的时候，用户在浏览器中填写的任何信息，包括账号、密码、验证码、信用卡有效期等，都会被浏览器默认保存。因此，支付结束后要立即清除浏览数据。当然，无论是客户端，还是手机浏览器，最好不要勾选保存账户和密码，这样即使手机丢失，也不至于泄露个人隐私。

在安装手机应用的时候要注意权限管理，假如一款手机游戏应用，安装时提示拥有读取手机通讯录、通话记录、短消息等权限，要想一想，这种权限是否有必要。

此外，鉴于手机的重要性，用户可以在设置屏保密码的基础上，对某些敏感应用二次加密，目前金山毒霸等软件可以实现防病毒的功能。