新型攻击威胁信息消费环境

　　万仁国告诉记者，根据360安全中心接到的报案情况统计，目前网络欺诈的场景主要有两种：一种是攻击者注册一些账号，然后利用软件群发带有木马的欺诈信息，用户在点击之后设备就会被木马植入，造成损失；另一种是在网上的二手商城中，利用消费者的需求或者心理上的弱点，诱导受害人上当。

　　“比如在二手商城上，攻击者伪装成卖家的身份，以超低价格出售物品，等‘鱼’上钩。在与买家交流时，以各种名义将木马程序发送给买家，诱骗对方点击并完成木马植入。”万仁国补充说，“这些受害人以学生居多，因为他们中大多数人资金有限，倾向于购买二手商品，而在选择购买的过程中，对价格非常敏感的特点被一些攻击者利用，从而遭受损失。”

　　汪女士的案例正好符合第一个场景。汪女士被攻击者群发的恶意信息所迷惑，用手机扫描了带有木马的二维码。其实，攻击的原理并不复杂，由于二维码可以添加链接，在这个案例中，攻击者就为二维码添加了带有下载并安装木马程序的APK（安卓系统安装文件）链接，汪女士在扫描二维码的同时，手机开始下载木马并安装，当木马被植入后，后续的攻击就完全由木马程序来完成。

　　安全与快捷的博弈

　　那么，木马是如何将汪女士支付宝账户，甚至相关联银行账户的资金转走的呢？

　　毫无疑问，木马程序截取了受害者支付宝账户的用户名、密码，并可以读取手机上的短信。要知道，大多数第三方支付系统的身份认证方式正是账号加密码加短信验证码。当木马程序植入手机之后，就可以很轻松地获取这三者，从而替代受害者进行身份认证，进行非授权操作。

　　然而，另一个问题是，受害者银行卡上的资金是如何被攻击者转移的呢？这是因为受害者开通了第三方支付平台的快捷支付功能，或者是在受害人的手机被植入木马后，木马程序操纵手机开通了快捷支付功能。

　　在搜索引擎上，关于“快捷支付安全漏洞”的报道颇多。快捷支付功能在2011年由支付宝首创，现在很多第三方支付产品都提供快捷支付功能，其目的在于让用户的支付行为更为快捷方便。有过电子支付经历的人都知道，在通常的电子支付流程中，即使是通过第三方支付平台进行付款，在付款时系统也会跳转到相关银行的网上银行页面，在不同的银行进行不同的付款操作，成功后返回到第三方支付乃至商家的页面。显然，这样的支付流程较为繁琐，用户体验较差。

　　而快捷支付的出现，让这一流程简化了许多。如果用户在第三方支付平台开通了快捷支付功能，将银行卡关联到第三方支付平台上，那么用户甚至不再需要开通网上银行，直接凭借第三方支付平台的账号、密码和短信，就可以实现相关联银行卡上的资金划转。快捷支付相当于绕过了银行的安全体系，将自己作为用户支付的唯一入口。

　　“在电子支付领域，商业银行软件系统的整体安全性还是比较高的，比如网银登录基本采用安全控件方式，支付过程采用双因素身份鉴别技术，但第三方支付软件系统采用密码和验证码方式居多。”中国软件评测中心金融测试事业部总经理郭宇告诉记者。

　　安全与便捷永远对坐在跷跷板的两端，当便捷跷得很高时，安全可能就会处在一个较低的位置。文章开头上海王先生的案例实际上就是一起盗刷案件，攻击者通过某些手段获取了王先生的各类信息，然后以伪造的身份证件向电信运营商申请手机卡号挂失和补发，又利用支付机构的快捷支付功能实现资金的转移，完成了一次典型的补卡攻击。

　　“补卡攻击实际上利用了手机SIM补卡漏洞和动态密码，从而造成消费者的经济损失，因此补卡攻击的攻击效果十分显著。”飞天诚信科技股份有限公司的技术专家朱博士告诉记者。

　　电子商务观察者、万擎咨询CEO鲁振旺表示：“第三方支付平台的风险关键存在于快捷‘支付密码’的设置上。当手机和银行卡绑定后，捡到手机的人不需要输入卡号，就可以获取密码，这是第三方支付平台存在的巨大隐患，而且这个隐患越来越严重。”

　　不过，不可否认的是，快捷支付让用户的支付体验得到了大幅提升，对于快捷支付是否存在安全漏洞，也并非都是口诛笔伐。

　　支付宝相关负责人认为：支付宝内部拥有强大的安全和风控团队，是安全可靠的。补卡攻击的起因在于攻击者利用伪造的身份证件向电信运营商补办SIM卡，这是支付宝不可控的。

　　“快捷支付的创新是从提升用户体验出发的，也不能武断地说所有的快捷支付都存在安全问题。就这些案例而言，用户的信息发生了泄露才是最根本的原因。”万仁国认为。

　　个人信息泄露的隐患

　　个人信息泄露的案例恐怕同样令人心有余悸。刚生完宝宝，推销各种婴儿用品的电话就会接踵而来；刚买了汽车，推销各种汽车用品的电话就“如约”而至……相对于电话信息被泄露，用户的身份证件、银行卡等信息的泄露则更加危险。

　　万仁国告诉记者，网络欺诈之所以能够成功，最根本的问题在于受害者的信息泄露给了攻击者。信息泄露又分为“主动”泄露和被动泄露：“主动”泄露即用户受到攻击者的诱骗，主动打开恶意链接导致电脑、手机等设备中被植入木马等恶意软件，将其中存储的关键信息泄露给攻击者的情形，本文中受害人汪女士的信息泄露即属于“主动”泄露；而被动泄露通常指的是用户的关键信息存储在第三方的数据库中，比如某用户在保险公司购买了一份保单，那么该用户的身份证号、电话、地址甚至银行卡等信息必然存储于该保险公司的数据库中。如果该保险公司系统的安全性不高被攻击者“拖库”，或者遭内部员工恶意盗取，将导致该用户的信息发生泄露。本文中受害人王先生的信息泄露就属于被动泄露。

　　那么，面对这些信息泄露，我们的信息消费环境中的究竟哪些环节存在隐患，如何加强？我们又应该如何在最大程度上避免用户信息泄露事件的发生呢？

关注读览天下微信， 100万篇深度好文， 等你来看……