李铁军:其实这不是一个什么漏洞,在很多交易环节当中,正常的设计的交易环节是没有问题的,最薄弱的环节在消费者那一端。消费者接收验证码是非常关键的时候,由于消费者不重视或者不了解,很容易在网上就被骗了。骗子让他在自己的手机上去扫描这个二维码,然后去安装一个软件,这个扫描的过程其实就是去识别一个网址,然后去下载一个APP的程序。消费者往往他都不知道中间危险在哪里,结果就是在自己手机上安装了一个危险的程序,这个程序非常非常简单,这个程序只是为了把你手机上的短信转发出去,或者通过邮件、短信去转发,转发出后以后接收那一方。 因为是在线购物,是在网店里面去购物,基本上都知道对方淘宝的帐号,然后他只要拿到这个验证码是手机病毒转发过来,这个时候就可以在自己的电脑上去用别人的帐号去登录,登录的时候他不知道密码,他会选择重置,重置密码的过程中,那个系统就会像消费者的手机上去发一条短信,短信就是验证码的内容,这部分内容就被(后门)直接转发给小偷了,小偷拿着这个验证码就可以登录了,帐号后面可能连着用户的网银,那里面的钱很有可能被小偷在几分钟之内转走。 李铁军还告诉我们,据他了解,各地警方都已经抓到不少在网上传播这种“木马”的不法分子,作为第三方支付公司,阿里巴巴的支付宝给警方提供了很多证据: 李铁军:跟他们也有沟通,我们会办一些抓到的常见的样本会提供给他们,因为所有的受害者,被盗的资金,如果是支付宝,快捷支付的用户,用户找到他们,他们是全额给赔的,所以他们也会去查相应的证据,公安也会帮他们去查那帮小偷是谁,已经抓到了不少人,咱们各地警方都有抓到这一类的小偷,应该是支付宝提供了很多证据,警方去抓人就方便一些。
有报道称,“修改密码”一直是支付安全的核心环节,在这个环节,银行一直要求互用本人持有效证件到线下网点办理,安全门槛很高。而第三方支付公司修改密码确只需要“用户名+验证码”,增加了盗号的风险。报道还说,支付宝曾经表示,通过“拦截验证码”找回密码的方式,在支付宝不可行。但有记者亲自测试发现,无需身份证,只需账户名+验证码。申请“忘记密码”后,仅需输入账户名,选择“手机校验码”,然后就会收到支付宝的短信,随后便能修改新密码,整个过程不超过2分钟。 朱健:我们看了那篇报道,作者就是他自己的手机丢了,其他人有没有可能仅仅通过他的手机接收一个较验码就去找会手机帐号对应的支付宝帐号的密码。我们碰到很多人都是这样做实验的,他拿着自己正常使用的一台电脑在自己的电脑上进行操作,我们可以告诉大家,他如果是这样实验的话,他百分之百可以仅仅通过手机接收一个较验码就去会他的密码,这是因为他所使用的电脑,就是自己经常用的电脑,他使用的环境很可能就是他平常所用的环境。这个时候,支付宝安全系统,其实是一个智能化的系统,会对用户的操作环境和操作行为做一个智能的判断。 在这个模拟当中,我们已经判断出来说进行这个操作的用户,就是这个用户本人,所以对这个用户来说,他要找会密码他可以仅仅通过一个手机较验码就可以找回,但是今天如果他的手机丢了,捡到他手机的人不太可能同时也捡到了他的电脑,捡到了他的电脑也不太可能还带着这台电脑去到他正常会操作的环境里面去操作,所以这个时候如果捡到手机的人,需要找会密码的话,那这个人会面临多重的要求,就是说他仅仅拿着一部手机,接到一个较验码是不够的,还会有其他的信息较验等着他。 大家对于现在互联网的安全防控水平要有一个新的认识,如今的一些安全防控,它是一个智能化的系统,不是说看谁家门口放的锁多,就是现在安防系统不是比谁家门口挂了5把锁还是10把锁,而讲究的是一个智能化的一个的安防系统。 昨天晚上,支付宝官方微博还上传了一张QQ对话的截图,截图内容似乎是有人在和网络水军谈价钱,商议如何转发支付宝账号被盗的帖子,转发一次300块钱。支付宝官微调侃说:“黑支付宝”项目只值300块?我太桑心了。 据报道,国内拥有第三方支付牌照的电商都表示,“用户名+验证码”威胁消费者账户安全的事件发生概率很小。有第三方支付公司认为,公司的产品必须在风险和效率这两方面做好平衡,绝对没有任何风险的产品,往往也会是一个人类无法使用的东西。所以,尽管有一些负面案例发生,但总体来讲,手机支付的风险完全在可控范围之内。
|