验证短信易泄露 移动支付流程存隐患

近日，央视《每周质量报告》报道称，随着移动互联网的广泛应用，越来越多的人们开始使用移动支付处理财务事宜，而随之而来的支付安全问题也逐渐暴露。不法分子通过恶意二维码扫描、伪基站发送假冒银行客服短信等手段，诱骗用户安装木马程序，泄露敏感信息，进而盗取用户网络账户中的财产。对此，百度手机卫士安全专家表示，百度手机卫士为保护用户移动支付安全推出了“环形防护”解决方案，可以全方位保护用户支付流程的整个链条，充分保障用户手机支付安全。

央视记者在节目中邀请了一位网络安全工程师，模拟了用户支付宝账户被盗的全过程。这位工程师证实，二维码中隐藏的病毒、木马确实可以帮助不法分子盗取用户相关信息，从而盗取支付宝中的钱财。央视记者发现，用户只要扫描不法分子发送的二维码，手机就会下载一个软件，这其实就是盗取用户短信的木马，通过这个木马，黑客可以获得发送到被安装木马的手机收到的所有短信。利用这一功能，不法分子可以申请重置用绑定这个手机的支付账户密码，进而将用户账户中的资金转移到自己的账户中。

除了木马软件入侵导致的财产损失之外，央视记者还发现，不法分子还通过伪基站诈骗的方式则是将带有恶意链接的短信伪装成银行、电信常用客服号码发送给用户。利用用户对这些官方号码的信任，诱骗用户点击短信中附加的钓鱼诈骗网站链接，从而感染与二维码中隐藏的类似的，盗取用户短信等敏感信息的木马。由于“伪基站“号码具有极大的伪装性，一般人很难防范。

事实上，不法分子诱使用户在手机上安装木马的目的，就是为了截获得用户手机所接收的和支付相关的验证短信，并在用户不知情的状况下实施修改支付密码、确认支付、转账等操作。对此知名移动支付安全专家李晓东表示，一方面手机本身是不安全的，但很多用户并没有意识到这其中的种种危险；第二个方面则是移动支付流程上本身存在漏洞，现有的流程仅靠短信验证码完成跟自己的卡绑定以及金融产品的购买，这可能存在比较大的风险漏洞。

对于手机支付安全保护，百度移动安全总经理张磊曾指出：“2014年是支付元年，手机病毒木马、电信诈骗、网络钓鱼面临爆发之势，严重威胁用户支付信息和财产的安全。”为此，百度旗下安全品牌百度手机卫士日前推出支付安全“环形防护”解决方案，包括应用下载保真功能、运行环境加固功能、传输过程加密功能和验证短信保护功能四个环节，其中验证短信保护功能可以帮助用户识别各类互联网金融及电子商务服务的验证短信并提供单独的存储域，避免遭到拦截和读取。同时针对诈骗短信通过钓鱼网站窃取信息的行为，百度手机卫士智能防诈骗功能将自动拦截并提醒用户清理，避免用户受骗上当而造成信息的泄露和财产损失。

业内安全专家提示，移动支付最好只用于小额支付，同时应该安装专业的手机安全软件，保障手机支付安全。百度手机卫士支付安全“环形防护”犹如给用户手机支付提供了一个安全的“防护环”，可以有效解决用户使用手机支付时在安全方面的后顾之忧。

点击下载百度手机卫士，“环形防护”保护支付安全：

扫一扫，下载更便捷：