二维码藏毒 扫一扫被盗1万多元

扫一扫，就能打开店铺网页；扫一扫，就能快捷支付……只需用手机对着二维码扫一扫，就能加微信、装软件、发名片，甚至网上购物，让生活变得更简单、更时髦。但在看到二维码便捷性的同时，不少人往往忽略了二维码的来源可靠性。

近日，市民王先生在扫描二维码后，其支付宝和余额宝竟被悄无声息地转走了11000多元。专家分析，这背后可能是一种手机木马病毒在作祟。警方提醒，提高自身安全意识，不要见“码”就扫。

陌生“二维码”扫走万元

王先生是一家网店店主。11月17日16时17分，正在店内打理生意的他，突然收到一条陌生人通过旺旺（淘宝的一种即时通信软件）发给他的二维码消息。

作为网店店主，平时经常会接收到陌生人询问店铺商品等的信息，二维码也在网店销售中经常使用。所以王先生看到二维码也没在意，只用自己的手机扫描了一下。手机网页很卡，等了约一分钟，网页也没有显示出来，王先生没在意，就将手机搁置在一边。

没想到半小时后，王先生存在余额宝上的8000多元不翼而飞，支付宝账户密码也被重置篡改。此外，与支付宝绑定的银行卡内有近3000元存款也被人转走。

根本不需要手机校验码

王先生大惊之下十分纳闷。按照常理来说，支付宝或余额宝的每笔支出都应该输入支付密码和手机校验码确认，但王先生从来就没收到过校验信息，钱怎么就被转走了呢？“每支出一笔款，哪怕就一分钱，手机上应该要收到一个临时的六位数校验码，然后必须输入这个校验码才能成功交易，但当时我什么都没收到。”

个别人利用程序漏洞谋利

王先生的个案中，尽管最后支付宝与平安产险合作，为王先生给予了全额先行赔付，但是专家认为，盗号事件频发说明现在手机软件支付使用安全性仍有待提高。

复旦斐讯系统安全技术研究中心主任杨珉坦言，随着近年来手机软件的飞速发展，使用的人群越来越多，但是与此相应的防范软件却没有跟上。“系统都是程序员设计的，在设计过程中会不可避免地出现这样那样的漏洞，而这些一般人看不出来的漏洞对于个别‘有心人’来说，却是他们孜孜不倦去寻找并且可以加以利用的。”

为什么扫一下钱就没了

木马病毒藏身二维码内

为什么只是扫了下二维码，王先生的手机就被“黑”了，支付宝内的钱款也都被卷走了呢？

杨珉分析，王先生扫二维码点开的链接很有可能已经被植入隐身大盗手机木马的病毒。二维码本身只是一个网址，这个网址可能是指向了一个恶意软件的下载地址，安装完以后这个软件就会在终端上或者在手机上模拟用户操作支付宝账户的种种行为，用户手机里的身份证、银行卡、支付宝密码等信息都会被窃取。“这个时候账户就不是你自己的了，不法分子会通过重置密码的方式，‘劫持’你的个人支付宝账户。”随后的转账就变得轻而易举。

杨珉还表示，现今高级的木马软件安装成功后，并不会在桌面上显示任何图标，而是直接“潜伏”进入手机后台软件，对手机不甚了解的用户很容易就会“中招”。

王先生密码如何被篡改

可能事先掌握用户身份证信息

不仅账户密码被盗，犯罪分子还大胆地篡改了王先生的密码，这又是如何做到的？记者登录支付宝页面发现，输入账户后，选择“忘记密码”，随后会进入密码找回页面。如果选择“手机校验码”找回密码，只需要十秒钟，就能顺利重置密码。

对此，支付宝方面称，要重置账户密码绝对不会只需一条手机校验码这么简单，如果识别出用户可能处在有风险的操作环境下，支付宝会提高修改密码的验证门槛。经过内部调查，当天王先生的支付宝密码在重置时除了要求验证码还需要身份证号码。由此推断，王先生的身份信息可能早已被泄露。“这个找回王先生账户密码的盗用者一定是知道了他的身份证信息和他的手机校验码才能做到的。”(责任编辑：韩杰)