(电子商务研究中心讯)　　第一章移动支付的现状与发展

　　中国互联网络信息中心(CNNIC)发布的数据显示：截至2013年12月底，中国网民规模达6.18亿，同比增长9.6%；手机网民规模达5.0亿，同比增长19.0%，占总网民数的81.0%。手机支付用户规模达到1.25亿，同比增长了126.0%，占手机网民总量的25.0%。可见，手机支付用户的增长速度远远高于网民总规模的增长速度和手机网民规模的增长速度。移动支付的时代已经到来，移动支付是互联网竞争的下一个主战场。

　　与手机支付快速增长相伴的是各种与移动支付相关的应用的下载量激增。根据360手机助手的下载量统计及相关第三方数据估算，在国内，与支付、网银、金融证券相关的各类移动应用的累计下载量已经超过4亿次。其中，支付宝钱包占比高达58%，是所有手机网银客户端软件下载总量(占比27%)的两倍多。此外，与支付宝相关的其他各种应用的下载量也占比8%。支付宝在移动支付领域占有绝对优势的地位。此外，在校园、企业和公交系统中广泛使用的中国电信翼支付的下载量占比为3%，各种金融证券类应用的下载量占2%，安全支付控件的下载量占比1%。下图给出了支付及金融类手机应用下载量的详细比例分布。

　　不过，有必要说明的是，上图并没有显示出移动支付类应用市场的全部情况。随着微信的普及，微信支付的用户规模也相当可观。不过，由于微信并不是一款专门的支付类应用，而且微信支付与网银绑定的比率目前没有可靠的第三方统计的数字可以参考，故此在上图统计中没有计算在内。

　　目前，国内外各大银行推出的网银手机客户端应用产品多达170余款。在网银手机客户端的累计下载量统计中，建行手机银行(23%)、工行手机银行(19%)、交通银行(9%)、招行银行(8%)和农行掌上银行(8%)的下载量位居前五名。

　　在与金融和证券相关的手机应用累计下载量统计中，招商智远手机证券(22%)和广发手机证券(14%)排名前两位。

　　继银行卡支付，网上支付(PC端)之后，中国消费者已经快速进入了移动支付时代。不过，由于智能手机系统的某些先天性不足，移动支付安全一直受到手机安全漏洞和各类手机木马的威胁。此外，手机还是传统网上支付(PC端)的重要验证途径和消费通知途径，也是各类诈骗短信攻击的目标。因此，尽管目前所有的移动支付产品都非常重视支付的安全性，但移动支付的安全性问题仍然存在很多隐患，值得消费者和业内人士的高度关注。

　　第二章手机漏洞与移动支付安全

　　漏洞的发现与修复，是智能手机操作系统安全性的根本保证。但与个人电脑不同，手机操作系统，特别是市场占有率超过70%的安卓系统，呈现出显著的碎片化现象。手机操作系统的发布与更新往往是由各个手机厂商独立完成的，而且几乎每个手机厂商都会根据自己的软硬件设计，对原生的安卓操作系统进行或多或少的定制化开发。因此，即便是安卓系统的原始开发者Google公司，也无法掌控所有手机的漏洞修复与版本更新。手机操作系统更没有形成Windows那样的全球统一的漏洞发布与补丁更新机制。这就使得手机操作系统的安全性面临了更加复杂的挑战，手机漏洞也层出不穷。

　　一、手机漏洞普遍存在

　　2013年，360互联网安全中心针对较为流行的9大品牌、18款典型型号的安卓手机进行了一次专门的漏洞测试分析。具体品牌及型号见下表：

　　表1 参与漏洞检测的9大手机品牌及18个具体型号

　　以上典型机型的系统版本主要为安卓2.x和4.x两大类，在出厂默认设置条件下对这些型号的手机进行测试分析后发现，安卓2.x版本中的9款手机平均存在20个已知的安全漏洞，最少的是8个漏洞，而最多的则达到40个漏洞；安卓4.x版本中的9款手机平均存在19个已知的安全漏洞，最少的是3个漏洞，最多的同样达到了40个漏洞。

　　研究发现，使用Google原生安卓系统Nexus系列的手机漏洞是最少的，其次是索尼手机。国产手机漏洞数量通常介于10到20个之间，少数国际知名品牌的某些手机型号中，检测出存在30-40个安全漏洞。根据360互联网安全中心对上述机型手机预置应用的调查结果来看，因厂商定制产生的手机安全漏洞，约占被测试手机已知漏洞总数的70%。在针对上述机型的安全检测中，360互联网安全中心还对6种危害较大且比较常见的漏洞类型进行了统计。具体统计结果见下表：

　　表2 六类漏洞在各型号手机中的分布

　　在上述漏洞中，签名漏洞对移动支付安全性的威胁最为严重。因为黑客可以利用这个漏洞，对正常的支付工具或网银客户端进行篡改，而篡改之后，程序的数字签名不会发生改变，因此也很难被发现。

　　其次是短信欺诈漏洞，手机木马可以利用这个漏洞来向手机发送欺诈短信，并以网银升级、帐号过期等为借口，诱使机主安装其他木马或登录钓鱼网站，进而窃取机主支付帐号密码和账户资金。

　　后台消息和后台电话漏洞并不直接威胁支付安全。但木马可以利用这些漏洞在机主不知情的情况下发送扣费短信，拨打扣费电话，从而快速的消耗手机话费。对于很多习惯用手机话费进行支付和消费的用户来说，需要特别警惕。

　　特别值得关注的是，正如表2给出的统计，签名漏洞，短信欺诈漏洞、后台消息漏洞和后台电话漏洞是目前世面上几乎每一部都存在的安全漏洞，而且很多手机的同类漏洞不只一个。

　　手机漏洞的修复周期长也是一个重要的安全隐患。这主要是由以下几方面的原因造成的：第一，手机行业尚未形成如Windows系统那样定期统一推送补丁的机制；第二，不同厂商对系统安全的重视程度也不同，因此厂商修复系统漏洞的周期也长短不一，某些山寨手机厂商甚至从手机出厂之后就从不修补任何手机漏洞；第三，同样是由于厂商定制开发的原因，使得某些厂商开发的安卓系统没有办法随着Google原生安卓操作系统一起升级。另外，出于对手机系统升级可能带来的其他方面问题的担忧，很多用户也不愿意主动升级自己的手机操作系统。

　　二、移动支付相关漏洞举例

　　本节介绍两个2013年发现的，对移动支付安全威胁较大的安卓漏洞。

　　(一)签名漏洞危及99%的安卓手机

　　2013年7月，Bluebox公司曝光了一个严重的安卓系统签名漏洞。该漏洞使99%的安卓设备面临巨大风险：黑客可以在不破坏APP数字签名的情况下，篡改任何正常手机应用，并进而控制中招手机，实现偷账号、窃隐私、打电话或发短信等任意行为，从而使手机瞬间沦为“肉鸡”。该漏洞也被业界公认为史上最严重的安卓系统签名漏洞。

　　2013年7月下旬至今，360互联网安全中心共截获利用该漏洞实施攻击的手机木马14886个。这类使用了合法签名的木马会导致手机隐私被窃、自动向通讯录联系人群发诈骗短信及私自发送扣费短信。在这些木马中，就有大量木马是被篡改后的第三方支付软件或网银客户端软件。一旦感染此类木马，用户的账户密码就会面临被盗威胁。

　　(二)挂马漏洞致使点击网址即中招

　　2013年9月，安卓系统WebView开发接口引发的挂马漏洞被曝光。黑客通过受漏洞影响的应用或短信、聊天消息发送一个网址，安卓手机用户一旦点击网址，手机就会自动执行黑客指令，出现被安装恶意扣费软件，向好友发送欺诈短信，通讯录和短信被窃取等严重后果。国内大批热门应用和手机浏览器受到影响。该漏洞也可被用于攻击网银或支付工具。目前，多数手机应用的开发者已经修补了该漏洞，手机用户可以通过升级软件或游戏来解决此问题。下图为通过微信发送的挂马链接的一个实例。

　　第三章购物与支付类恶意程序

　　从绝对数量上看，专门针对手机网银、支付工具和网上购物设计的木马程序并不是很多。但此类木马往往会使用最新的攻击技术和方法，使得此类木马的发现和查杀难度大大增加。

　　一、手机恶意程序综述

　　2013年，360互联网安全中心共截获Android平台新增恶意程序样本67.1万个。其中，约有吸费木马45万款，占比为67%，吸费木马中包括46%的资费消耗(主要是消耗上网流量)类恶意程序和21%的恶意扣费类恶意程序(主要是暗中发送扣费短信定制增值服务或在后台偷偷拨打吸费电话)。由于手机话费本身也可以用来进行多种网上支付，因此，占总量近七成的吸费恶意程序，从某种程度上说，也是对移动支付安全的威胁。

　　而专门针对移动支付和网上购物设计的木马程序数量则要少得多。2013年，360互联网安全中心共截获支付及购物类恶意程序2962个。这些恶意程序可以盗取支付帐号和密码，拦截并转发银行发来的短信，或者是直接洗劫支付账户中的资金余额。

　　这些恶意程序通常会以两种形式出现：一种是篡改特定官方客户端程序并植入恶意插件的篡改类木马；一种是纯粹假冒其他应用程序的假冒类木马。统计显示，在所有的支付及网购木马中，篡改类木马占比约为26%，假冒类木马占比约为74%。

　　从恶意程序篡改或假冒的对象来看：淘宝及相关应用最多，占比约为25%；其次是安卓系统或安卓系统组件，占比约为14%；接下来是微信相关应用和网银客户端，占比分别为12%和9%。还有假冒图片和相册，假冒支付宝及相关应用，假冒金融证券软件，安全组件和京东等各种应用的木马程序也不在少数。

　　二、恶意程序传播途径

　　从传播途径上看，点对点的发送是购物及支付类木马的主要传播方式，具体包括短信链接、短链接和二维码三种形式。

　　短信链接就是在短信中含有的网址链接。就目前情况而言，短信链接仍然是最为主要的恶意网址传播方式。骗子经常利用银行电子密码升级、账户到期、账户扣费等短信内容诱骗受害者打开带有木马程序的网站链接，进而中招感染木马。

　　其次是来自微博、微信等手机应用中的网址短链接。特别是随着微信的快速普及，通过微信群发带有木马程序的恶意网址或钓鱼网站，已经成为一种非常普遍的网络攻击方式。特别值得关注的是，人们在PC上通常使用浏览器来打开网址，安全软件通常都能有效的发现和拦截恶意网址。但在手机上则有所不同，通过微博、微信等手机客户端软件打开的网址往往无法被手机安全软件捕获。这就使得人们通过手机访问恶意网址的几率大大提升。

　　通过二维码传播恶意程序的比例在2013年增长迅速，这一方面是由于二维码应用越来越广泛，扫二维码已经成为很多手机用户的日常习惯，另一方面也是由于多数二维码扫码工具并不具有识别恶意网址的能力，只是简单将二维码翻译成网站地址。这就给恶意程序通过二维码传播创造了更加有利的条件。另外，恶意二维码目前也是钓鱼网站在手机上传播的重要途径。

　　三、典型盗号木马举例

　　(一)“支付鬼手”专偷用户手机支付帐号密码

　　2013年5月，360互联网安全中心截获了一款名为“支付鬼手”的手机木马，该木马伪装成淘宝客户端，将用户输入的淘宝账号、密码以及支付密码通过短信暗中发送至黑客手机，同时诱导用户安装木马子包，木马子包会劫持用户收到的包含验证码在内的所有短信，并联网上传或直接转发至黑客手机。而黑客一旦收到这些信息，就会将用户支付宝财产洗劫。“支付鬼手”是当时截获的唯一一个具有完整盗窃支付账号能力的手机木马。下图为360手机卫士拦截“支付鬼手”木马安装，及拦截该木马向黑客手机发送短信时的手机截图。

　　“支付鬼手”木马主要是通过二维码、论坛等渠道进行传播。黑客会将木马下载地址制作成二维码图片在网站及论坛传播，诱骗用户扫描下载，其安装包显示名称为“旺信内测版”或“跳蚤街”等名称。

　　(二)“隐身大盗”拦截用户手机验证短信

　　很多网上支付工具都会与手机绑定，用于发送验证码和交易信息通知。进入2013年以来，以拦截和窃取交易短信为目标的手机木马迅速泛滥，最典型的是名为“隐身大盗”的安卓木马家族。此类木马运行后会监视受害者短信，将银行、支付平台等发来的短信拦截掉，然后将这些短信联网上传或转发到黑客手机中。黑客利用此木马配合受害者身份信息，可重置受害者支付账户。国内已出现多起“隐身大盗”侵害案例，有受害者损失高达十余万元。

　　目前有网站以1000元的价格公开售卖短信拦截类木马。下图是一个名为“咖啡科技”的不法公司卖出手机木马后，使用该木马的黑客的手机短信截屏。从图中可以看出，一条支付宝发给用户的“找回密码”短信被劫持到了黑客的手机上。这名黑客实际上正在尝试登录并修改某用户的支付宝账户。由于木马劫持了支付宝发给用户的短信，因此，黑客就可以通过“找回密码”这种方法修改用户的账户密码。

　　四、典型吸费木马举例

　　如前所述，吸费木马虽然不是典型的针对网上支付或网上购物的木马类型。但由于手机话费已经可以用来进行多种支付，因此，从某种角度上来说，吸费木马也是对移动支付的一种威胁。

　　(一)具有三层防查杀能力的Android木马

　　2013年6月，360互联网安全中心截获了一款“Backdoor.AndroidOS.Obad.a”的恶意程序。该木马的主要行为是偷偷发送短信为手机定制扣费业务，并下载更多的恶意程序。此外，为了在短时间内感染更多设备，已被感染的手机还会被控制自动搜索其他蓝牙设备，发送恶意程序并远程执行木马命令进行安装。

　　而特别值得注意的是，该木马具备“反查杀，难解析，难卸载”等特性，是迄今为止发现的结构最复杂的Android木马之一。其独特之处在于该木马具备三层防查杀特性，使该木马不仅很难被发现，而且极难被卸载。此外，该木马还利用Android系统自身漏洞，将其注册为设备管理器且在列表中不显示，最终使木马程序无法关闭和卸载，使被感染的手机始终处于安全风险之中。

　　不仅如此，该木马还利用了Android系统存在的另一种缺陷。使得该木马即便以一种错误的方式注册进设备管理器，Android系统也能让其注册成功，而用户却无法找到取消该木马管理权限的入口，此时木马便可随意在被感染手机中作恶。

　　(二)“扣费黑帮”系列木马

　　2013年8月15日，360互联网安全中心发布橙色预警，一批名为“扣费黑帮”的恶意扣费手机木马正在蔓延，感染软件数量高达惊人的5000余款。这类木马可使黑客远程操控中毒手机所发送的短信内容，让中毒手机不仅发送扣费短信，而且还会向亲友群发诈骗短信、广告信息等，使手机成为庞大的诈骗短信“肉鸡”手机群。

　　“扣费黑帮”系列木马还具备少见的“反侦查”机制：该木马入侵手机后会首先检测手机中是否安装了安全软件，如果这些安全软件处于运行状态，则“扣费黑帮”不会触发恶意行为，隐蔽性和自我保护能力极强。

　　(三)“不死木马”，最难清除的手机木马

　　2013年12月，有用户向360互联网安全中心反馈手机中有“杀不掉”的木马。据用户描述，他刚购买的手机经常莫名其妙地出现大量自己没有安装过的软件，消耗了大量流量，造成资费损失。该用户使用360手机卫士进行杀毒，发现手机中有三个预装的木马。但问题是，在清除这些木马之后，每次重新启动手机之后，又会出现同样的现象，并再次检测出存在木马。

　　随后，360互联网安全中心对该用户的手机内进行了检测，在该用户手机内捕获到全球首个被写入Boot分区的手机木马，并将其命名为“不死木马”(英文命名为Oldboot)。这是目前已知的最难清除的手机木马，目前在国内的手机感染量已经超过50万部。

　　该木马的主要行为是频繁联网，下载大量推广软件，造成流量资费损失并将手机电量迅速耗尽。此外，通过对该木马的代码分析还发现，该木马还拥有卸载其他软件和劫持短信发送给任意手机号的功能。

　　由于该木马被写入了手机磁盘引导区，因此，清除木马之后，只要重新启动手机，该木马又会被重新载入。木马病毒感染磁盘引导区的攻击方法在个人电脑领域并不罕见，但在智能手机领域尚属首次被发现。检测显示，目前世面上的绝大多数手机安全软件都无法彻底清除该木马。用户一旦发现手机感染了该木马，需要使用专杀工具才能将其彻底清除。综合木马特征和用户反馈的情况来看，“不死木马”目前的主要传播方式应该是在手机流通销售的某个环节被人工手动刷入的。

　　第四章短信诈骗与支付安全

　　一、诈骗短信综述

　　(一)垃圾短信与诈骗短信

　　垃圾短信中重要的一类就是诈骗短信，某些诈骗短信会诱骗用户登录钓鱼网站或下载木马程序，从而对网上购物和网上支付构成威胁。特别是2013年下半年开始流行至今的伪基站技术，使诈骗短信的危害成倍增加。

　　据360互联网安全中心统计，2013年全年共收到用户举报垃圾短信总量约为4.46亿条，360手机卫士全年共为用户拦截各类手机垃圾短信971亿条，其中诈骗短信占据垃圾短信总量的5%，约为49亿条。下图给出了各种类型垃圾短信在数量上的比例分布情况。

　　(二)垃圾短信热词与网上支付

　　根据统计，在所有垃圾短信中，有23个典型词汇的出现频次最高，分别是(按照出现频次由高到低排序)：

　　优惠、热线、发票、农行、信用卡、积分、贷款、现房、抵押、投资、房东、电脑、礼品、开业、放款、产权、担保、抽奖、治疗、招商、房产、餐饮、小姐。

　　其中，与支付或金融相关的关键词有8个，占比超过热词榜的三分之一。它们分别是：发票、农行、信用卡、贷款、抵押、投资、放款、担保。

　　特别值得一提的是，“农行”是上榜的唯一一个对应特定经济实体的名词，而且大多出现在“打款类”诈骗短信中。诸如：“我是房东，租金请打我爱人卡上”，或“钱准备好了直接打到这张新卡上”等诈骗短信中，短信中留下的收款帐号十有八九都是农行。农行在此类诈骗短信中的出现频次是其他银行的五倍以上。另据统计，农行也是目前国内个人储户数量最多的银行。

　　二、伪基站短信诈骗

　　2013年，一种名为伪基站的强发垃圾短信和诈骗短信的攻击方式逐渐泛滥。不法分子将与电信运营商的无线基站同频的伪基站放入车中，在人群密集的街道和小区自动搜索附近的手机卡信息，发送广告或诈骗短信，甚至冒充95588等银行号码诱骗中招者访问虚假网银，盗刷银行账户资金。另外，冒充电信运营商号码，如13800138000的伪基站短信也不在少数。下图是一幅犯罪分子在车内装载伪基站的实物照片。

　　进入2013年下半年，又出现了大量伪基站伪装运营商、银行等官方号码发送欺诈短信，诱导受害者下载可以拦截和转发用户短信的手机木马(如“隐身大盗”木马)的案件。该类木马可以实现盗刷支付账户的目的。

　　据某不法商家宣称，其一个月就能卖出伪基站上百台，而一台伪基站每小时最多可以发送3万条短信。保守估计，2013年国内由伪基站发出的短信已经达到上百亿条的规模。

　　由于伪基站使用的发信号码多为银行或电信运营商的官方号码，这些号码对于用户来说很具有迷惑性，而且这些号码通常也会被手机安全软件列入白名单，因此，目前市面上的绝大多数手机安全软件和号码管理软件也不能识别和拦截伪基站短信。目前，针对日益泛滥的伪基站攻击，360手机卫士已率先推出拦截功能，并可标记这些短信为“伪基站推送短信”。

　　三、诈骗短信举例

　　本节主要针对与移动支付相关的一些典型诈骗短信进行分类举例。

　　(一)假冒身份要求打款

　　举例：你好我是房东，这段时间在外地办事，请把这次的房租存到我爱人这农行卡上(6228480668259153074)户名；熊燕平；好了短信告知。

　　举例：钱准备好了直接打到这张新卡上，农--行：622848 34983170 28176户名：王亚玲安全提示：陌生人发来的打款短信一律不可信，不认识收款人绝不能轻易转款。特别提醒，任何时候都不要轻易和房东的老婆发生任何关系。

　　(二)银行密码器升级诈骗

　　举例：尊敬的用户;您的电子密码器将今日过期，请尽快登入我行维护网站www•iczp•cn•com更新,给您带来不便敬请理解！(工商)e

　　举例：尊敬的用户：您的中银e盾于次日失效，请即时登陆我行维护网站www.yesboc.com进行更新，给您带来不便敬请谅解！【中国银行】

　　安全提示：仔细辨别，还是能够看出，这些网址并不是银行的网址，而是仿冒银行的钓鱼网站。登录这些网站，输入网银帐号和密码，帐号和密码就会被盗。收到类似短信不能确定时，首先应当拨打银行的官方客服进行咨询和确认，这样就不会轻易上当了。

　　(三)银行卡停用、扣费诈骗

　　举例：工行通知：于2013年7月6日17点止，您名下所有银行账户将停用，如有不解速电：020-66205630【广州分行】

　　举例：温馨提示！截止7月7号,我行已成功从您户上减去1200‘详询0754-86701315《工行》

　　安全提示：此类短信的发信号码和短信中留下的电话号码通常都不是银行的官方客服。不过，由于伪基站诈骗在2013年下半年非常流行，骗子通过伪基站技术可以将发信号码伪装成银行官方客服号码。因此，即使是银行官方客服号码发来的类似短信，也不要轻信。如果收到此类短信后自己却有担忧，也一定不要直接拨打短信中留下的联系电话，而是要通过银行官方客服进行咨询。

　　(四)传播木马链接

　　举例：152xxxxx290用户：您的好友给您发来一张照片，点击查收! xxx

　　举例：安卓提醒：您系统已过期损坏!请免.费下载安装2013最新版Url:http://xxx

　　提示：这些网址实际上是手机木马的下载链接，一旦点击并下载文件，手机就会中毒，对移动支付造成安全威胁。

　　(五)社保诈骗

　　举例：社保管理中心最后通知：您有一份补助金(4980元)尚未领取，请及时办理联系电话18876734485王

　　安全提示：收到此类短信，首先应通过官方渠道联系当地的社会保障机构进行咨询，也可以通过可信的搜索引擎查找当地社保机构的联系电话进行咨询。

　　第五章360移动支付解决方案

　　针对移动支付面临的种种安全威胁，360与建设银行、农业银行、工商银行、中国银行、民生银行等十余家银行展开了安全服务合作，为手机网银客户端提供独立的移动支付安全模块定制服务，该模块被集成到手机网银客户端中，从而全面提升手机网银客户端的安全性。

　　360提供的移动支付安全模块设计目标包括七项主要功能：盗版网银识别、木马病毒查杀、网络环境监控、支付环境监控、网址安全扫描、二维码扫描监控和短信加密认证。

　　一、盗版网银识别

　　深度集成的支付安全模块在网银客户端启动过程中，可以检测网银客户端是否遭到了第三方恶意注入或篡改，以确保手机网银客户端为官方出品。

　　二、木马病毒查杀

　　支付安全模块可以通过快速扫描以判断当前手机是否存木马病毒，并引导用户在支付之前完成处理操作，以避免由木马病毒所造成的财产损失。

　　三、网络环境监控

　　支付安全模块可以在网银启动后，对手机网络进行监控和扫描，尤其是当网络环境发生变化时，支付安全模块会自动感知到网络的变化并自动进行检测，检测内容包括当前WiFi网络是否未设置密码、DNS是否被篡改及是否存在WiFi钓鱼等情况。一旦检测发现问题，该模块会立即提示用户，方便用户更改网络设置，以保证手机网银操作的安全性。

　　四、支付环境监控

　　支付环境监控功能着眼于用户在手机支付流程中的全方位安全保护。支付安全模块不仅会在手机网银客户端启动时检测手机上正在运行的程序是否有不安全因素，在用户进入支付环节时，会再次检测手机环境是否安全，包括是否有盗版软件，是否有木马病毒。

　　五、网址安全扫描

　　当用户使用网银访问应用程序中出现的链接时，支付安全模块还会对每个链接进行安全性扫描，以防止应用中出现的链接被恶意代码或木马病毒篡改。

　　六、二维码扫描监控

　　支付安全模块提供二维码链接扫描功能。当用户使用网银进行二维码扫描时，扫描成功后，支付安全模块会立即对扫描后得到的内容或链接进行云端安全检测。

　　七、短信加密认证

　　目前大多数网银及银行类应用在支付验证过程中采用手机短信验证码的认证方式，而且手机验证码一般都是最后一道安全措施。一旦该短信被恶意程序获取，则可以在用户毫无察觉的情况下窃取用户的财产，造成严重的经济损失。本文前述的多种盗号木马就具有此类的短信劫持能力，一旦手机感染这些木马，支付安全的最后一道防线便形同虚设。

　　而移动支付安全模块则可以为银行短信提供加密传输服务。在支付安全模块的协同工作下，银行发到用户手机上的短信将会被加密，之后需要通过支付安全模块的解密才能正确读出短信内容。由于手机收到的验证短信为密文方式，第三方应用无法直接获取到有效信息，而且即便是恶意程序对加密验证码进行暴力解密，所需的时间也远远超过了该验证短信的实际有效期，这就从根本上解决了Android系统短信验证码容易泄露的问题。

　　第六章移动支付诈骗典型案例

　　一、二维码暗藏木马 淘宝卖家频中招

　　核心提示

　　二维码木马钓鱼诈骗是2013年新出现的一种主要针对淘宝卖家的网购骗局。骗子首先冒充买家，以发送订货单等名义向卖家发送二维码。卖家一旦扫描这个二维码，就会进入一个名为“隐身大盗”的手机木马下载页面。手机感染该木马后，手机收到的各种验证码短信就会被木马拦截，并转发到骗子的手机上。从而使受害人的网银在不知不觉中被盗刷。而且盗刷过程通常都是在凌晨进行，受害者正在熟睡期间，难以察觉。

　　案例回放：黑客巧设二维码陷阱 中招儿市民支付宝被转空

　　河南的淘宝店主王先生回忆称，某一天他在网上售货，有买家说要和同学一起购买多款商品，担心买错款式，他们就用手机做了一个二维码清单，这样王先生用手机一扫描就能知道他们要买什么了。然而，王先生扫描完二维码后，浏览器就跳转到一个文件下载页面，等安装并打开名为“购物清单”的apk文件后，看到的却是乱码，根本没有任何商品信息。

　　下图王先生扫描完二维码后跳转到的下载页面。

　　“我再去问买家为何看不到时，他就下线了。”王先生描述称，没隔几分钟，自己却收到网购充值卡成功的短信提醒，同时电脑也弹窗提示说他的支付宝在异地登陆。忽觉事有蹊跷的王先生赶紧尝试修改支付宝密码，这才发现自己的密码已被人改掉。

　　事实上，王先生遭遇了典型的二维码钓鱼欺诈，当他下载并运行了所谓的‘购物清单’文件后，暗藏的apk木马就成功入侵了他的手机。

　　专家分析

　　这种通过二维码传播的木马，在启动后会发送激活短信和受害者的手机号给黑客，接着受害者手机中的所有短信就会被木马拦截并转发给黑客，然后黑客会利用其手机号作为支付宝用户名，进行短信重置密码的操作，从而成功盗刷受害者的网银。

　　由于手机短信被拦截，黑客的这些操作受害人是完全看不到的，一旦掉入此类二维码陷阱，支付宝和网银可能将被骗子洗劫一空。这次王先生之所以看到了付款成功的短信，可能是木马操作者误操作所致，幸而他及时冻结了支付宝余额，才避免了遭受更多损失。此前，360网购先赔接到的类似报案中，就有受害人在完全不知情下被盗刷了上万元。

　　防骗指南

　　1)不要轻信陌生人发来的二维码信息，如果扫描二维码后打开的网站要求安装新应用程序，则需不要轻易安装。

　　2)遇到交易对方有明显古怪行为的，就应当提高警惕，不要轻信对方的说辞。比如在本案中，买家坚持用手机二维码来发送选购清单，但对于普通人来说，制作二维码实际上一件挺麻烦的事，正常买家完全可以在聊天窗口直接发送链接，没有必要费事的制作二维码。所以这就是需要警惕的古怪行为。

　　3)与陌生人进行网上交易或交流时，不要轻易的更换交易或交流的平台。比如本案中，双方的交流就被骗子强制要求从PC上突然跳到了手机上。这种突然而且没有必要的平台转换，实际上就是为了把受害者吸引到一个他不熟悉的环境中，从而更方便的实施诈骗。

　　4)使用360手机卫士，开启“隐私行为监控”功能，可以拦截最新的木马，拦截木马读取短信等行为。

　　二、电子密码器升级，网银账户被盗刷

　　核心提示

　　科技在不断发展，骗子的骗术也在不断变化。2013年第三季度，360网购先赔中心接到了多起用户举报案例，称自己收到银行官网号码(例如工行95588)发来的短信，提示“电子密码器将失效，请尽快登入http://xxx进行升级维护”等信息.然而该网址被360安全浏览器检测为假冒工行网银的钓鱼网站。原来，骗子已经可以通过一些技术手段，模拟人们熟悉可信的银行官方号码发送钓鱼欺诈短信，令人防不胜防。在360网购先赔接到的报案中，受害者损失从几百元至数千元不等。

　　案例回放：不可信的“银行号码”

　　安徽的张先生一日接到号码为“95588”发来的短信，短信称张先生的“电子密码器将失效”将于次日失效，要求登陆指定的网址(钓鱼网址)进行升级。

　　由于张先生知道95588是工商银行官方号码，因此便未和银行确认就打开了短信上的网址。张先生打开页面后，发现和平时登陆的工行网站并无区别(实际是高仿钓鱼网站)，按照网站提示输入了卡号、身份证号、账号密码等信息后，该网站显示“电子密码器”正在升级中，但没过几分钟，张先生的手机却收到了卡内费用被转走的短信。张先生这才意识到是上当了。但为时已晚，张先生的帐户已经被骗子转走了三千多元。

　　专家分析

　　假冒网银升级类的诈骗短信一直都有，但是以“95588”这类银行官方号码发送的诈骗短信，还是“新鲜事物”，在2013年下半年才集中爆发。由于人们对银行官方号码一般都比较熟悉，很容易轻信由银行号码发来的短信。而按照短信中的钓鱼网址去登入网银，就会造成银行卡号和密码泄露，因此这类诈骗短信的危害格外严重。

　　之所以会出现“95588”发来的诈骗短信，主要有两种可能：

　　1)手机附近存在“伪基站”，骗子可以伪装成任意号码向接入“伪基站”的手机发送任意内容的短信；

　　2)手机系统存在短信欺诈漏洞，恶意程序也可以伪造任意号码向机主发送诈骗短信。根据360互联网安全中心报告的数据，市场上主流的安卓机型中，94%的安卓机型存在短信欺诈漏洞，而且iOS 5X版本也存在该漏洞。

　　防骗指南

　　1)提高安全警惕，即便是银行官方号码发来的短信，也不一定是真的。

　　2)“电子密码器失效”、“U盾升级”等属于不法分子常用的诈骗术语，如果收到类似短信，又无法判断真伪，应直接拨打银行的官方客服电话联系银行工作人员进行咨询，或者是到银行网点柜台办理，绝对不能通过短信中的网址登入网银。

　　3)使用360手机卫士和安全浏览器可有效拦截和提示钓鱼网站。（来源：260互联网安全中心 编选：中国电子商务研究中心）