流 言
随着智能手机的普及,黑白相间的二维码已经深入人们的日常生活,成为了连接线上、线下的重要渠道。无论是微博、微信还是其他应用,都能够打开相机,识别出二维码。但扫二维码有可能会使得手机中毒,从而使得支付宝账户被盗取。
真 相
有人会把木马放到网盘里,然后生成一个二维码。只要有人扫了这个二维码,木马便会植入手机,不法分子就会知道手机号。不法分子会用支付宝密码“手机校验码找回”功能修改支付宝登录密码,从而截取淘宝、银行发过来的短信,并迅速绑定各类快捷支付平台,划走账户内的钱。支付密码的被盗更是多种多样,比如有的犯罪分子会让用户输入支付密码来获取优惠;还有的人直接在阿里旺旺上管对方要身份证号,说是予以登记等。
去年12月13日,朱女士在淘宝网店里看中一件500元的毛衣,拍下后,卖家说要送她“红包”,但要先用手机扫一下她发来的二维码。朱女士欣然同意,用手机扫了码。随后,她再上网时发现,不仅衣服没拍成,自己支付宝账户也少了4万元。
警方调查发现,支付宝账户之所以出现问题,是因为朱女士手机扫码后“中毒”。怎么扫描一个二维码就能“中毒”,还让账户被盗呢?
本案犯罪嫌疑人李某接受媒体采访时,揭开了骗术谜底。李某称,几个月前QQ群里一个老乡传给他一个后缀为“apk”的木马程序。他把该木马放到网盘里,然后生成一个二维码。随后李某又花150元买到一个淘宝店铺,然后传上一些时尚漂亮衣服的照片,价格定得较低。只要顾客有意向购买,他便会发二维码给顾客,承诺“只要手机扫码,便能优惠”。“扫了后,木马便植入手机,我很快就能知道手机号。支付宝账号很多就是手机号,只剩下搞密码了。”李某说。此时,他便会用支付宝密码“手机校验码找回”功能,支付宝会给绑定手机发一个校验码短信。
“这是关键,木马能拦截短信,并自动发到我的手机上来,受害者本人却看不到。”李某说。有了校验码,他就可修改支付宝登录密码,而且能截取淘宝、银行发过来的短信,如验证码等,并迅速绑定各类快捷支付平台,划走账户内的钱。
这样的诈骗犯罪并不是个案。去年11月,福建一对母女在未核实来源的情况下扫描二维码,半小时内手机银行账户被盗刷200多万元。今年2月,浙江嘉兴汪女士在淘宝交易中扫二维码时遭遇了陷阱,18万元被对方转走。
据北京邮电大学教授马严介绍,制作这样的木马程序并不困难,“拦截功能很多软件都有。这木马高明在拦截之后,能把信息传送到另外的手机上,类似于呼叫转移功能。这与近几年发生的复制手机卡的方式差不多,都是掌握了对方手机。”
掌握手机之后,就“畅通无阻”了吗?记者实验了支付宝找回密码的过程。支付宝分为登录密码和支付密码两种,登录密码只能进入支付宝进行查账等一般性操作,而任何资金流转都需要再输入支付密码,且二者不能相同。“忘记登录密码”后,只需要输入发送到手机的校检码,就能立刻修改密码;“忘记支付密码”,则需要除了手机校检码之外,还需要支付宝绑定的银行卡号和身份证号。由此可见,盗取支付密码更加复杂,需要知道对方的更多信息。
从不同受害者向警方反映的情况来看,支付密码的被盗多种多样。有的犯罪分子通过二维码进行了很深入的诱骗,比如让用户输入支付密码来获取优惠,通过木马来获得支付密码;还有的人直接在阿里旺旺上管对方要身份证号,说是予以登记;还有一种情况就是犯罪分子确实掌握了对方的资料,例如身份证号和银行账号等。
二维码其实就是网址的“图片版”,当你收到邮件“您已中奖,请登录
www.xxxx.com”的时候,你会打开网页吗?二维码同理,如果打开网页,木马病毒就会趁机植入手机。
另外,从各种案件的曝光来看,木马程序都是以“apk”为结尾,这是典型的安卓应用程序。马严认为,安卓应用市场的混乱监管不严,给了犯罪分子可乘之机。与之相比,苹果系统就稍微好点。它应用来源非常单一,只能是官方的App Store。“它的审核非常严格,任何应用胆敢扩大权限,是不可能通过审核的。”当然,越狱的苹果就没有这层保护伞了,因为在破解之后,很多应用的下载方式绕过了App Store。
![SiS001! Board - [第一会所 关闭注册]](images/green001/logo.png){kind=logo}
