央視曝光支付寶難防不法分子攻擊 被盜資金賠償難

     用戶銀行卡被通過支付寶等第三方支付平臺(tái)盜刷后，向第三方支付平臺(tái)索賠，受害者很難個(gè)個(gè)如償所愿，有用戶支付寶被盜5萬元，但支付寶拒絕賠償；而記者從警方了解到，即便銀行卡盜刷案順利告破，受害者要想拿回被盜的資金，也不是件簡(jiǎn)單的事情

　　導(dǎo)語：央視《每周質(zhì)量報(bào)告》今日播出節(jié)目“移動(dòng)支付的隱憂”，關(guān)注手機(jī)支付的安全性問題，以下為節(jié)目文字實(shí)錄：

　　【演播室】

　　共同打造高質(zhì)量的生活，歡迎收看《每周質(zhì)量報(bào)告》。就在不久前，有機(jī)構(gòu)發(fā)布了這樣一組統(tǒng)計(jì)數(shù)據(jù)，2013年我國(guó)的第三方支付市場(chǎng)規(guī)模達(dá)到16萬億元，其中互聯(lián)網(wǎng)支付的總計(jì)金額已經(jīng)接近9萬億元，比上一年增加了30.04%；而隨著移動(dòng)互聯(lián)網(wǎng)的不斷普及，移動(dòng)支付的增加更加迅速，2013年移動(dòng)支付的金額已經(jīng)超過了1萬億元，比上一年增長(zhǎng)了556.75%。正是因?yàn)橛辛巳绱梭@人的發(fā)展速度，網(wǎng)絡(luò)支付和移動(dòng)支付的安全問題就更加值得我們關(guān)注了，而在調(diào)查當(dāng)中我們發(fā)現(xiàn)，現(xiàn)在網(wǎng)絡(luò)支付和移動(dòng)支付的安全性還真是沒有辦法讓消費(fèi)者完全放心。

　　【正文】

　　近一段時(shí)間，記者接連收到手機(jī)用戶爆料，其銀行卡存款突然不翼而飛。一名福建用戶稱，銀行卡被人從網(wǎng)上利用支付寶、網(wǎng)易寶等第三方支付方式盜刷了6筆2000元錢。

　　【同期】電話采訪福建泉州手機(jī)用戶

　　記者：具體什么時(shí)間錢被盜走的？

　　就是4月15號(hào)10點(diǎn)。

　　【正文】

　　無獨(dú)有偶，江蘇省揚(yáng)州市警方向記者披露的一起銀行卡盜刷案，當(dāng)事人銀行卡被盜刷6萬多元。

　　【同期】江蘇省揚(yáng)州市公安局廣陵分局杭集派出所教導(dǎo)員朱凱

　　1月25號(hào)到26號(hào)期間，他的一張農(nóng)業(yè)銀行的銀行卡，被通過這些網(wǎng)上支付平臺(tái)，被不明身份的人，多次盜刷，總值人民幣是6萬余元。

　　【正文】

　　警方介紹，蹊蹺的是，在銀行卡被盜刷之前，當(dāng)事人的銀行卡以及保障網(wǎng)銀安全的U盾、密碼等都沒有丟失過，更為奇怪的問題是，在整個(gè)盜刷過程中，當(dāng)事人和銀行卡綁定的手機(jī)也沒有顯示出賬戶變化的提醒短信，直到當(dāng)事人自己刷卡消費(fèi)的時(shí)候，才發(fā)現(xiàn)銀行卡被盜刷了。

　　警方調(diào)查發(fā)現(xiàn)，被盜刷的6萬多元錢，大多用于充話費(fèi)、購(gòu)買游戲點(diǎn)卡等網(wǎng)絡(luò)消費(fèi)。

　　按照支付寶等第三方支付平臺(tái)現(xiàn)有的安全防范措施，只有同時(shí)掌握賬號(hào)、登錄密碼、支付密碼以及短信驗(yàn)證碼這四道安全防護(hù)密匙，才有可能從網(wǎng)上通過第三方支付平臺(tái)刷卡轉(zhuǎn)賬。而且，每筆刷卡消費(fèi)或轉(zhuǎn)賬，銀行也都會(huì)給定制了短信提示服務(wù)功能的用戶手機(jī)，下發(fā)賬戶變動(dòng)提示短信。

　　那么，到底是誰悄無聲息地盜刷了別人的銀行卡呢？

　　北京的一家專門從事網(wǎng)絡(luò)安全研究的獨(dú)立第三方機(jī)構(gòu)，對(duì)近年來銀行卡被通過支付寶盜刷的新聞報(bào)道，進(jìn)行統(tǒng)計(jì)分析后發(fā)現(xiàn)，部分案例中，因?yàn)橛脩魝€(gè)人不慎，泄露了隱私信息，比如被人用復(fù)制身份證補(bǔ)辦了手機(jī)卡，最終導(dǎo)致銀行卡被盜刷。而另外相當(dāng)一部分的案例，則都是用戶被動(dòng)地因?yàn)榫W(wǎng)絡(luò)不安全的原因，導(dǎo)致銀行卡資金被盜。

　　【同期】網(wǎng)絡(luò)安全專家 萬濤

　　被動(dòng)的行為，就是說你就去上一個(gè)Wifi，你只是去咖啡館喝杯東西，在那兒辦辦公，正常去使用，你就中了招，你訪問的都是正常的網(wǎng)站，開的都是正常的app，在這種情況下你的手機(jī)被控制。

　　【正文】

　　智能手機(jī)主要有蘋果ios系統(tǒng)和安卓系統(tǒng)，目前，由于安卓操作系統(tǒng)的開放性，一旦暴露出安全漏統(tǒng)，對(duì)用戶信息安全危害也就更大。那么，這種手機(jī)操作系統(tǒng)是否存在安全漏洞，不法分子又是否能夠利用這些漏洞入侵用戶手機(jī)，隱秘地通過支付寶等第三方支付平臺(tái)盜刷用戶銀行卡呢？

　　專家經(jīng)過仔細(xì)研究后發(fā)現(xiàn)，一些智能手機(jī)，目前的確存在系統(tǒng)安全漏洞，足以對(duì)用戶手機(jī)安全構(gòu)成嚴(yán)重威脅。

　　諸葛建偉：清華大學(xué)副研究員、國(guó)家重大專項(xiàng)課題之《Linux/Android操作系統(tǒng)安全漏洞檢測(cè)》研究小組負(fù)責(zé)人。

　　【同期】手機(jī)安全專家諸葛建偉

　　那我們現(xiàn)在已經(jīng)拿到用戶的這款小米2手機(jī)，通過我們的技術(shù)分析，我們發(fā)現(xiàn)其中存在比較多的安全漏洞。

　　【正文】

　　專業(yè)技術(shù)人員向記者再現(xiàn)了利用這種手機(jī)操作系統(tǒng)安全漏洞，對(duì)手機(jī)發(fā)起攻擊，隱秘盜刷用戶銀行卡的完整過程。

　　【同期】手機(jī)安全專家諸葛建偉

　　攻擊者會(huì)設(shè)置一個(gè)公共的釣魚wifi，通過去配置這樣的一款無線路由器，去把它作為用戶手機(jī)上網(wǎng)的，中間人攻擊的一個(gè)節(jié)點(diǎn)。那如果用戶為了省流量，用他的手機(jī)連入到這樣的一個(gè)公共Wifi里，用戶的上網(wǎng)流量就會(huì)被劫持到攻擊者指定的一個(gè)筆記本電腦或者是PC上。

　　【正文】

　　專家介紹說，一旦手機(jī)用戶的上網(wǎng)數(shù)據(jù)流被攻擊者劫持，用戶點(diǎn)開的任何一個(gè)網(wǎng)頁(yè)，實(shí)際上都可能被攻擊者暗地里插入了惡意攻擊程序，它會(huì)利用手機(jī)瀏覽器的安全漏洞，接著在用戶手機(jī)中自動(dòng)植入新的木馬程序。而這種木馬程序又會(huì)進(jìn)一步利用手機(jī)操作系統(tǒng)內(nèi)核中存在的ROOT提權(quán)漏洞，這種漏洞會(huì)被用來獲取原本屬于系統(tǒng)自身才能擁有的最高權(quán)限，這就意味著攻擊者由此獲得了手機(jī)的完全控制權(quán)。

　　【同期】手機(jī)安全專家諸葛建偉

　　也就是說，他可以去讀取手機(jī)里面存儲(chǔ)的所有的用戶的一個(gè)隱私信息，以及可以去控制手機(jī)上所安裝的任何的一個(gè)應(yīng)用(程序)。

　　【正文】

　　記者注意到，當(dāng)用戶在手機(jī)上輸入支付寶賬號(hào)和密碼的時(shí)候，這些極其重要的賬戶認(rèn)證信息幾乎同時(shí)暴露在攻擊者的電腦屏幕上。

　　按照支付寶的流程設(shè)計(jì)，單筆付款金額達(dá)到200元，必須經(jīng)過短信驗(yàn)證碼確認(rèn)后，才能完成支付操作。然而，專家分析發(fā)現(xiàn)，攻擊者獲得手機(jī)完全控制權(quán)后，短信驗(yàn)證碼的安全防范作用也就相當(dāng)于形同虛設(shè)。

　　【同期】手機(jī)安全專家諸葛建偉

　　同時(shí)他還可以利用手機(jī)上的木馬程序，對(duì)支付寶發(fā)給用戶手機(jī)的一個(gè)驗(yàn)證碼來進(jìn)行攔截。

　　【正文】

　　記者看到，當(dāng)技術(shù)人員使用剛剛獲得的支付寶賬號(hào)和密碼發(fā)起了轉(zhuǎn)賬555元的操作后，支付寶平臺(tái)原本下發(fā)給用戶手機(jī)的短信驗(yàn)證碼，在用戶手機(jī)屏幕上并沒有出現(xiàn)，反而出現(xiàn)在了攻擊者的電腦屏幕上。技術(shù)人員輸入這個(gè)驗(yàn)證碼之后，用戶支付寶賬號(hào)中的余額555元錢立即被轉(zhuǎn)走了，此外，賬戶變動(dòng)的短信提示也被屏蔽，用戶手機(jī)屏幕上沒有出現(xiàn)任何提示信息。

　　【同期】手機(jī)安全專家諸葛建偉

　　這種新的攻擊方式是可以讓攻擊者非常從容在用戶完全沒有察覺的這種情況下，偷偷地把你的錢轉(zhuǎn)走。

　　【正文】

　　專家警示，這種利用手機(jī)操作系統(tǒng)安全漏洞，來攻擊用戶手機(jī)、通過支付寶等第三方支付平臺(tái)盜刷銀行卡的技術(shù)并不高深，一般的網(wǎng)絡(luò)攻擊者，只要跟蹤到一些已公開的安全漏洞，或者通過地下產(chǎn)業(yè)鏈購(gòu)買到相關(guān)的攻擊程序和木馬程序，便可以完成對(duì)支付寶賬號(hào)的攻擊，盜走用戶銀行卡資金。

　　研究人員接下來還擴(kuò)大了研究范圍，結(jié)果發(fā)現(xiàn)市場(chǎng)上的幾款手機(jī)都存在同類安全漏洞。

　　【同期】手機(jī)安全專家諸葛建偉

　　除小米2 機(jī)型外，像三星的Galaxy S4、谷歌的Nexus4以及華為、聯(lián)想的(品牌的)一些機(jī)型，也都同樣存在著這樣的ROOT提權(quán)安全漏洞，也就是能夠讓攻擊者獲取手機(jī)最高權(quán)限的一個(gè)漏洞。

　　【正文】

　　記者注意到，專家分析測(cè)試存在系統(tǒng)安全漏洞的這些手機(jī)，分別安裝了市場(chǎng)主流的幾款手機(jī)安全軟件，然而，當(dāng)專業(yè)技術(shù)人員利用這種系統(tǒng)安全漏洞進(jìn)行支付寶轉(zhuǎn)賬攻擊測(cè)試時(shí)，這些安全軟件似乎并沒有表現(xiàn)出安全防護(hù)作用。

　　【同期】手機(jī)安全專家諸葛建偉

　　這種攻擊模式是組合使用瀏覽器的漏洞和本地root提權(quán)漏洞，進(jìn)行進(jìn)一步的攻擊，完全屏蔽掉360手機(jī)衛(wèi)士的運(yùn)行，從而讓它失效，我們還進(jìn)一步分析發(fā)現(xiàn)，這種攻擊模式，對(duì)像騰訊手機(jī)管家這樣的一些市場(chǎng)上主流的手機(jī)安全軟件同樣有效，同樣可以讓它們失去保護(hù)手機(jī)的效果。

　　【正文】

　　專家進(jìn)一步分析測(cè)試后還發(fā)現(xiàn)，這種安卓系統(tǒng)安全漏洞，使攻擊者不但可以隱蔽地從網(wǎng)上通過支付寶等第三方支付平臺(tái)，盜刷銀行卡，而且還可以在達(dá)成攻擊目的后，完全擦除攻擊痕跡，相當(dāng)于可以來無影、去無蹤地盜刷用戶銀行卡。

　　【同期】手機(jī)安全專家諸葛建偉

　　他在進(jìn)行一個(gè)惡意轉(zhuǎn)賬之后，他可以徹底地把木馬程序和所有的一些日志都進(jìn)行一個(gè)擦除。這樣的話，即使你進(jìn)行了一個(gè)報(bào)案，你把這個(gè)手機(jī)交給了警方，警方(目前)也沒有任何的辦法通過舉證分析去找到攻擊者的一個(gè)線索。

　　【主持人】

　　【正文】

　　手機(jī)操作系統(tǒng)是手機(jī)所有應(yīng)用程序運(yùn)行的基礎(chǔ)，相當(dāng)于手機(jī)的大腦。網(wǎng)絡(luò)安全國(guó)家權(quán)威研究機(jī)構(gòu)的專家向記者透露，安卓操作系統(tǒng)安全漏洞的客觀存在，給攻擊手機(jī)打開了方便之門，使支付寶等移動(dòng)支付應(yīng)用面臨嚴(yán)重的安全威脅。

　　【同期】網(wǎng)絡(luò)安全應(yīng)急技術(shù)國(guó)家工程實(shí)驗(yàn)室主任杜躍進(jìn)博士

　　移動(dòng)支付是有一整套的方法來保證你的安全，但是一個(gè)安全的環(huán)境如果都沒有的話，就讓你的各種各樣的安全保障都受到很嚴(yán)重的威脅了。

　　【正文】

　　記者了解到，手機(jī)操作系統(tǒng)的構(gòu)建和完善無法一勞永逸，時(shí)時(shí)都存在防御與攻擊的博弈。但專家指出對(duì)系統(tǒng)安全漏洞及時(shí)修補(bǔ)，提升安全等級(jí)，是手機(jī)操作系統(tǒng)廠商無法推卸的責(zé)任。

　　中國(guó)人民銀行《非金融機(jī)構(gòu)支付服務(wù)管理辦法》第三十二條規(guī)定：支付機(jī)構(gòu)應(yīng)當(dāng)具備必要的技術(shù)手段，確保支付業(yè)務(wù)的安全性。也就是說，支付寶等第三方支付廠商無法回避其確保應(yīng)用軟件安全的義務(wù)和責(zé)任。而中國(guó)人民銀行《非金融機(jī)構(gòu)支付服務(wù)業(yè)務(wù)系統(tǒng)檢測(cè)認(rèn)證管理規(guī)定》和《非金融機(jī)構(gòu)支付服務(wù)業(yè)務(wù)系統(tǒng)技術(shù)標(biāo)準(zhǔn)符合性和安全性檢測(cè)規(guī)范——網(wǎng)絡(luò)支付部分》，明確要求對(duì)用戶輸入的賬戶和密碼等“客戶端鑒別信息安全”進(jìn)行檢測(cè)，如果發(fā)現(xiàn)其存在賬戶名稱、密碼等敏感數(shù)據(jù)的泄露，就將被劃定為存在嚴(yán)重性問題，這樣，該第三方支付平臺(tái)的整個(gè)業(yè)務(wù)系統(tǒng)的檢測(cè)結(jié)果就將被判定為“不符合”規(guī)范。

　　【同期】網(wǎng)絡(luò)安全應(yīng)急技術(shù)國(guó)家工程實(shí)驗(yàn)室主任杜躍進(jìn)博士

　　這個(gè)就好像是我是一家傳統(tǒng)的銀行，我給你提供銀行服務(wù)，我允許你用我提供給你的工具來做銀行的業(yè)務(wù)操作，結(jié)果我給你提供的工具出問題了。出問題是被別人利用，然后損害到你的利益了，從經(jīng)營(yíng)方這個(gè)的角度自己來說確實(shí)是有責(zé)任的。

　　【正文】

　　專家研究分析和測(cè)試后發(fā)現(xiàn)，攻擊者之所以能獲取手機(jī)用戶的支付寶賬號(hào)和密碼等重要的認(rèn)證信息，恰恰就是因?yàn)樗軌驅(qū)χЦ秾殤?yīng)用程序進(jìn)行插樁，植入惡意程序片段，對(duì)用戶輸入進(jìn)行監(jiān)控。

　　【同期】手機(jī)安全專家諸葛建偉

　　支付寶應(yīng)用由于缺乏一些對(duì)抗逆向分析的機(jī)制，以及并沒有對(duì)修改后的支付寶應(yīng)用進(jìn)行一個(gè)驗(yàn)證，就使得被修改后的支付寶應(yīng)用還可以像原來一樣去連接服務(wù)器，來完成登錄和轉(zhuǎn)賬的操作。

　　【正文】

　　記者隨后就支付寶應(yīng)用程序被插樁惡意程序片段的安全防范問題，對(duì)支付寶方面進(jìn)行了電話采訪。

　　【同期】支付寶 018號(hào)客服

　　記者：你們能不能發(fā)現(xiàn)，發(fā)現(xiàn)用戶手機(jī)里的支付寶軟件被人做了手腳？

　　客服：可以的。你剛剛不是把賬號(hào)告訴我，我在這邊查詢到了的嘛。

　　記者：那就只有用戶告訴你了，才能發(fā)現(xiàn)，是嗎？

　　對(duì)啊。

　　記者：那你們?yōu)槭裁床荒苤鲃?dòng)去提示用戶呢？

　　我們是神仙??！

　　【正文】

　　在復(fù)雜多變的網(wǎng)絡(luò)環(huán)境下，支付寶等第三方支付平臺(tái)安全事件發(fā)生概率并不低。據(jù)2011年中國(guó)人民銀行公布的數(shù)據(jù)顯示，我國(guó)網(wǎng)銀安全事件的發(fā)生概率僅為百萬分之一，然而，截至目前，支付寶聲稱其風(fēng)險(xiǎn)概率為十萬分之一。

　　【同期】支付寶公司技術(shù)人員

　　風(fēng)險(xiǎn)發(fā)生率應(yīng)該在十萬分之一左右，那這個(gè)過程中，我們沒辦法去擔(dān)保百分之一百、所有用戶的支付寶全部是安全的。

　　【正文】

　　記者調(diào)查發(fā)現(xiàn)，用戶銀行卡被通過支付寶等第三方支付平臺(tái)盜刷后，除了向支付寶等第三方支付平臺(tái)索賠外，只有等到警方破案后追索贓款來挽回?fù)p失。公開報(bào)道顯示，向第三方支付平臺(tái)索賠，受害者很難個(gè)個(gè)如償所愿，有用戶支付寶被盜5萬元，但支付寶拒絕賠償；而記者從警方了解到，即便銀行卡盜刷案順利告破，受害者要想拿回被盜的資金，也不是件簡(jiǎn)單的事情。

　　【同期】江蘇省揚(yáng)州市杭集派出所教導(dǎo)員

　　等犯罪嫌疑人到案以后，隨后我們根據(jù)相關(guān)的法律法規(guī)規(guī)定，跟著這個(gè)案件一起到檢察院、法院，提起公訴以后，才會(huì)附帶民事賠償。

　　【正文】

　　警方透露，隨著移動(dòng)互聯(lián)網(wǎng)普及，涉及移動(dòng)支付等方面的網(wǎng)絡(luò)安全問題越來越突出。要降低移動(dòng)支付給用戶帶來的安全威脅，避免用戶損失，除強(qiáng)化應(yīng)用軟件等廠商的安全責(zé)任和義務(wù)外，采取事先防范措施已刻不容緩。

　　專家提醒，用戶盡量避免使用免費(fèi)又不需要密碼的wifi，同時(shí)也要留心不要掉入名稱相近的釣魚wifi網(wǎng)絡(luò)陷阱。平常最好關(guān)閉手機(jī)wifi自動(dòng)連接功能，以免自動(dòng)掃描并連接上不設(shè)密碼的釣魚wifi網(wǎng)絡(luò)。此外，可用兩部手機(jī)，一部用來上網(wǎng)登錄支付寶等第三方平臺(tái)刷卡操作，而另一部手機(jī)的號(hào)碼，則專用于收取手機(jī)銀行或者第三方支付平臺(tái)的驗(yàn)證碼，以增加網(wǎng)絡(luò)攻擊者獲取個(gè)人隱私信息的難度，降低銀行卡被盜刷風(fēng)險(xiǎn)。

　　【演播室】

　　專家說，在現(xiàn)在互聯(lián)網(wǎng)的時(shí)代，面對(duì)各種針對(duì)互聯(lián)網(wǎng)的安全問題，沒有一勞永逸的辦法，還是說支付寶等第三方平臺(tái)，他們?yōu)榱擞脩舻馁Y金和信息安全，也設(shè)置了多道門檻，密碼、短信驗(yàn)證碼等等都是有效的安全屏障，但是隨著不法分子盜取用戶信息的手段越來越高明，現(xiàn)有的安全防范措施也亟待更新升級(jí)，才能更有效地保護(hù)好用戶的資金安全，但是遺憾的是，從目前我們調(diào)查的情況來看，互聯(lián)網(wǎng)支付和移動(dòng)支付等第三平臺(tái)的安全防護(hù)手段還不足以防范不法分子的攻擊，而這無疑是給用戶留下了巨大的安全隱患。好，感謝收看《每周質(zhì)量報(bào)告》，下周同一時(shí)間再見。