網上支付短信驗証足夠安全嗎？黑客軟件可盜取

2015年04月29日08:39 來源：揚子晚報手機看新聞

原標題：網上支付短信驗証足夠安全嗎？

　　所有第三方支付平台和不少移動端網絡應用，在進行用戶身份驗証時都很依賴手機短信驗証碼。而隻要在規定時間內正確輸入短信驗証碼，甚至可以立即重置重要的登錄或支付密碼。那麼，短信驗証碼究竟能否當此大任？23日，西安電子科技大學的三位碩士研究生和記者一起做了一個實驗。

　　實驗驗証

　　惡意程序盜取短信驗証碼，難嗎？

　　●實驗時間：2015年4月23日16：00~17：00

　　●實驗人員：西安電子科技大學計算機學院碩士研究生李鑫、王濤、張鵬，記者

　　●實驗顧問：西安電子科技大學計算機學院博士、教育部信息安全團隊骨干成員楊超、李興華

　　為了做這次實驗，三位碩士研究生使用了一個特殊的安卓手機軟件，這是一個惡意程序，起名“釣魚攻擊”。

　　實驗模擬的情境是，李鑫使用的一部安卓手機已中招，惡意程序一直在后台運行。該軟件預先設置的黑客手機號碼，是一起做實驗的記者的一部手機。

　　實驗開始，李鑫打開手機“支付寶”進行登錄。而實際上，他打開的只是一個釣魚界面。但中毒手機的機主很難注意到，所以輸入的賬號、登錄密碼都是真的。

　　就在李鑫登錄“支付寶”的瞬間，記者的手機收到了一條短信，內容就是李鑫所用的支付寶賬號和登錄密碼。如果充當黑客角色的記者，此時立即打開自己手機上真正的支付寶應用，輸入短信中的用戶名和密碼，完全可以登錄並使用李鑫的支付寶賬戶。

　　如果黑客使用支付寶過程中，需要短信驗証碼怎麼辦？這個驗証碼，支付寶可不會直接發給黑客。

　　別急，按照程序設計，中毒手機在使用支付寶的過程中，隻要收到含有“支付寶”三個字的短信，就會自動把短信內容轉發給黑客手機。

　　為驗証這一點，另一位實驗人員王濤將自己手機中存的支付寶過期短信驗証碼轉發了一條給李鑫。幾乎同時，記者的手機就收到了同一條短信。如果這就是黑客需要的驗証碼，后果可想而知。重置密碼、改綁手機，凡是黑客在操作中需要填短信驗証碼的環節，中毒手機都會自動在需要的時候通過短信轉發過來。所以，幾分鐘甚至幾十秒這樣的時間限制，並不是問題。

　　就這麼一個小小的程序，不但破解了支付寶賬戶名和登錄密碼，而且在操作中凡是需要短信驗証碼的時候，都會自動發給黑客。讓記者看得目瞪口呆。

　　李鑫說，為研究如何加強安卓系統防木馬和釣魚軟件的功能，他們設計了一個新的安卓操作系統。為驗証該系統防護性能，才專門制作了這樣的“釣魚攻擊”軟件。其實這樣的釣魚軟件並不罕見，甚至在網上花一二百元就能買到。這類惡意軟件通常會和熱門軟件捆綁，或者偽裝成游戲挂件等，用戶很難辨別真假。一旦安裝並運行了這樣的軟件，不僅用戶在支付寶等第三方支付平台的賬戶名和密碼會被偷偷發給黑客，有些軟件還會讓用戶無法收到支付寶發來的短信。

　　實驗總結

　　僅靠短信驗証無法確保支付安全

　　西安電子科技大學計算機學院博士、副教授楊超介紹，傳統的銀行賬戶實行實名強驗証，也就是本人拿著身份証去當面驗証，必要時輸入驗証密碼。網絡支付方式為突出便利性，降低了驗証門檻，一般採取密碼驗証和短信驗証相結合的方式，被稱為“雙因子驗証”。但現在出現了兩個問題：一是手機短信驗証用過頭了，被當做主要驗証方式，用它可以去重置登錄密碼或支付密碼，也就是說用短信驗証去否決密碼驗証，這樣的設計是不合適的。二是手機短信驗証有天然缺陷，在傳播過程中可以被截獲，實驗也說明了這樣的問題。所以，短信驗証碼是不能單獨擔當主要驗証權限大任的。

　　專家解讀

　　遠程身份驗証以后可能靠“刷臉”

　　所有的第三方支付平台，幾乎都賦予了短信驗証碼重要的驗証權限，可誰知道能獲取短信驗証碼信息且在平台上進行操作的就一定是機主本人？第三方支付平台和移動端網絡應用，該如何來解決短信驗証碼難當遠程身份驗証大任的尷尬？

　　楊超認為，解決遠程身份驗証難題還有兩類辦法：

　　1.增加驗証因子，以提高攻擊難度。比如增加身份証驗証、郵箱號驗証等等。

　　2.相關技術手段成熟后，可以增加指紋、虹膜、聲音等生物信息驗証方式。據悉，指紋驗証目前蘋果設備已經能做到，而人臉識別技術正日趨成熟，“刷臉支付”將會成為移動支付的下一個引爆點。據《華商報》

　　使用電子支付，怎樣做更安全?

　　1、主要銀行賬戶，不要開通網銀及第三方支付平台﹔開通第三方支付平台的賬戶，裡面不要儲存過多現金。

　　2、不要用公共場合的電腦進行網上支付。

　　3、不了解的WiFi不要“蹭”。

　　4、釣魚網站一般都是用假支付頁面打掩護，隻要從正規渠道進入官網，可避免絕大部分木馬病毒等惡意軟件。

　　5、隻從官方途徑下載手機APP，不要頻繁刷機，不接不明文件，不掃不安全的二維碼。