第三方支付平臺使用二維碼的安全隱患及防范

　　2013年11月，江蘇開網店的汪女生掃描了客戶發過來的二維碼之后，支付寶中的資金被盜用，造成了18萬元的經濟損失。我們不禁要問，一個小小的二維碼，何以造成支付寶被盜用？其中的緣由到底是什么呢？
　　
　　1、關于二維碼
　　
　　二維碼（2-dimensional bar code），又稱二維條碼，最早起源于日本，它是用特定的幾何、圖形按一定規律在平面（二維方向）上分布的黑白相間的圖形，是所有信息數據的一把鑰匙。我們現在網絡上常見的碼制是QR_CODE.二維碼的制作非常簡單，我們可以在百度上搜索二維碼在線生成，就可以將文本信息、網址、文件、手機程序的下載地址、圖片等制作成二維碼。
　　
　　Android手機平臺下的程序安裝包后綴為apk,圖1為用安卓手機軟件“正點日歷”的下載地址制作的二維碼。通過手機二維碼掃描軟件掃描后會自動出現下載頁面，提示用戶下載。
　　
　　二維碼只是信息的一種編碼方式，從原理上講，其本身并不包含病毒，但可以將釣魚網站的網址或惡意手機程序的下載地址制作成二維碼誘騙手機用戶掃描，從而達到非法目的。
　　
　　2、手機木馬-驗證碼大盜
　　
　　金山毒霸安全中心發現，受害者資金被盜之前，大多有使用安卓手機掃描二維碼，或者使用安卓手機接收、安裝不明apk文件的經歷，這些二維碼或apk文件中隱藏了一種新型的木馬病毒，它能夠攔截受害者手機短信中有關網銀或第三方支付網站發送的驗證碼等關鍵信息，通過短信或郵箱轉發給不法分子，而受害者卻毫無察覺。金山毒霸將這類病毒取名為“驗證碼大盜”.
　　
　　360手機衛士和網秦日前也分別截獲名為“隱身大盜”和“窺私大盜”的手機木馬變種，這類木馬啟動后會自動隱藏圖標，并偽裝成系統應用在后臺偷偷運行，竊取手機系統信息、通訊錄、短信等發送給黑客，重點竊取網銀支付等驗證短信，直接威脅受害者網銀和網上支付安全。
　　
　　3、第三方支付的重置密碼
　　
　　第三方支付平臺，例如淘寶、支付寶等給網上購物帶來了極大的便利，但第三方支付平臺的重置密碼功能給不法分子帶來了可乘之機。圖2為支付寶的登錄界面，登錄名為用戶手機號或者郵箱。下面有“忘記登錄密碼？”的鏈接。
　　
　　點擊“忘記登錄密碼？”的鏈接后進入下面的頁面。

　　
　　輸入用戶手機號碼和驗證碼后，點擊“下一步”,進入下面的頁面。

　　
　　點擊“立即找回”進入圖5的頁面。
　　

　　點擊“點此免費獲取”按鈕后，支付寶平臺就會發給手機一個含有驗證碼的短信，通過輸入驗證碼和身份證號碼后就可以在忘記登錄密碼的情況下重置登錄密碼了。通過上面對支付寶平臺重置密碼的過程分析，我們看到支付平臺的安全關鍵就在于用戶手機上獲得的驗證碼短信，而手機號碼和身份證號這些信息很容易泄露。支付寶賬號的支付密碼同樣可以通過上述方法進行重置。而淘寶賬戶的重置密碼只需要手機短信中的驗證碼，連身份證號碼都不用輸入。
　　
　　4、盜刷流程分析
　　
　　不法分子首先通過誘騙手機用戶掃描二維碼來達到在用戶手機上安裝“驗證碼大盜”手機木馬的目的，然后通過第三方支付平臺的重置密碼功能試圖重置用戶的登錄密碼和支付密碼，在這期間，用戶手機上的木馬程序會把收到的驗證碼短信轉發到不法分子的手機上，不法分子輸入驗證碼即可重置登錄密碼，用相同的流程重置支付密碼，至此，不法分子就接管了用戶的網上支付功能。
　　
　　5、安全防范措施
　　
　　從以上的分析可見，第三方支付平臺重置密碼功能安全的關鍵是用戶的賬號信息、身份證號碼、短信驗證碼信息。所以應從以下幾方面來加強安全防范：
　　
　�。�1）個人信息的保密，包括手機號碼、身份證號碼、郵箱賬號等。
　　
　�。�2）不要輕易掃描陌生人發過來的二維碼進行手機軟件安裝，不從個人站點下載安裝手機程序。
　　
　�。�3）安裝手機安全軟件，例如360手機安全衛士、金山手機毒霸、騰訊手機管家等，對不明網址和軟件進行安全檢測。
　　
　　6、結束語
　　
　　二維碼的廣泛應用給手機用戶帶來便利的同時，也給不法分子可乘之機。我們在使用手機掃碼的時候要提高安全意識，安裝手機安全軟件幫助我們攔截手機木馬程序。同時在使用第三方支付的時候更要提高警惕，注意個人信息的保密，確保資金安全。