使用二維碼“偷錢”：黑客演示只需幾分鐘搞定

打開手機微信的“掃一掃”，對著電腦屏幕上一個二維碼輕輕掃過，手機上立刻彈出一連串精美的圖片和文字，中間夾雜著一個名為“手電筒”的常用軟件下載地址，輕點安裝，很快手機上就擁有一款實用的手電筒軟件。幾乎與此同時，手機內的微信支付、手機銀行支付、微博賬號密碼等信息，卻出現(xiàn)在了另一位陌生人的電腦上！在這之前，曾曝出有黑客在淘寶上將病毒制作成二維碼，誘騙用戶掃碼后將其支付寶賬號、密碼等盜取。

　　為此，昨日成都商報記者特邀國內知名的前黑客水波先生通過現(xiàn)場試驗發(fā)現(xiàn)，當下人們熱衷的手機掃二維碼、手機下載軟件過程中，暗藏病毒陷阱，手機上網(wǎng)需時刻警惕。

　　掃描二維碼

　　手機銀行賬戶被盜刷200多萬元！

　　如今，黑白相間、形似迷宮的二維碼已經(jīng)深入人們的日常生活。隨著智能手機普及，二維碼成為連接線上、線下的一個重要通道。然而，一些犯罪分子利用二維碼傳播手機病毒和不良信息，甚至進行詐騙等犯罪活動，類似事件近來呈上升趨勢。

　　有媒體報道，日前浙江嘉興汪女士在淘寶交易過程中，對方發(fā)來一個二維碼，稱必須掃描二維碼才能顯示商品信息。汪女士沒多想，用手機掃了一下，點了一下鏈接，可網(wǎng)頁一直沒有顯示出來，再登錄支付寶賬戶時，發(fā)現(xiàn)密碼已被修改。隨后，支付寶、余額寶中的18萬元被對方轉走。

　　類似的詐騙犯罪不時在各地上演。不久前福建一對母女在未核實來源的情況下掃描二維碼，半小時內手機銀行賬戶被盜刷200多萬元！

　　黑客演示：

　　幾分鐘轉走別人的錢

　　病毒二維碼到底是怎么騙人的呢？前黑客水波介紹說，其原理和通過短信發(fā)木馬鏈接給受害者的原理差不多。水波特別演示了犯罪分子常用的如何利用國外服務器入侵國內安卓智能手機用戶的過程。

　　首先，水波選擇了一個架設在俄羅斯的服務器，然后將一段病毒程序植入進去，接著將下載該病毒的鏈接地址以短信形式，發(fā)給一臺陌生的安卓手機，利用安卓系統(tǒng)的短網(wǎng)址功能將發(fā)件人偽裝成“老媽”。

　　接收到短信的用戶如果按照“老媽”的指示，點擊病毒的鏈接地址，安裝完成后在手機上見到的只是一個正常的桌面小工具，病毒卻已經(jīng)悄然植入到這部手機后臺，手機上的聯(lián)系人、通話記錄、短信內容、手機銀行支付信息等全部暴露在病毒制造者的眼中。

　　接著，水波用網(wǎng)上隨意下載的一款二維碼生成碼，即將病毒鏈接地址壓縮成二維碼，并偽裝成淘寶賣家的商家優(yōu)惠券或類似“手電筒”的應用軟件。用手機“掃一掃”下載“手電筒”軟件后，手機屏幕根本不會顯示病毒下載到手機中，手機機主的手機號碼、銀行賬號等重要信息，即全部被水波掌握。他再用短信驗證的方式篡改對方的密碼，即可將對方賬戶的資金轉走。整個過程只需要幾分鐘就完成了！

　　水波表示，我們常用的二維碼都是日本研發(fā)的QR碼，是開源的、通用的，因此基本不具備安全防護能力。

　　監(jiān)管有空白

　　二維碼來源不明要警惕

　　據(jù)了解，由于技術門檻過低，二維碼目前處在“人人皆可制作、印刷和發(fā)布”的狀態(tài)，由此帶來的信息安全風險不容忽視。不法分子在網(wǎng)上下載一款“二維碼生成器”(工具軟件)，再將病毒程序的網(wǎng)址粘貼到二維碼生成器上，就可以生成一個二維碼，整個過程不超過1分鐘。只要手機上有微信或二維碼識讀軟件，就能任意讀取二維碼。

　　二維碼在為用戶帶來便利的同時，也存在信息安全方面的漏洞。另一方面，相關部門對二維碼的監(jiān)管也是“一片空白”，注冊一家二維碼企業(yè)并不需要專業(yè)資質，制作二維碼也沒有任何規(guī)定，發(fā)布二維碼也沒有任何限制，整個行業(yè)處在一種無序狀態(tài)。

　　對用戶而言，二維碼是否藏有病毒，從外觀上無法辨別，用戶一旦掃了“藏毒”二維碼，就會導致隱私泄露、賬戶被盜刷等。專家建議，在“掃一掃”之前，手機用戶應提高警惕，先核實二維碼的來源，要選擇正規(guī)企業(yè)、商家發(fā)布的二維碼，不要掃描來源不明的二維碼；同時，用戶需要安裝手機安全防護軟件，及時更新，以降低信息安全風險。

　　專家建議，一些特殊行業(yè)使用二維碼時，應該優(yōu)先使用自主的、帶有密碼的二維碼體系，設置加密、解密的工具，防止信息泄露。

　　網(wǎng)購詐騙

　　一萬人中有一人中招

　　據(jù)最新發(fā)布的《2014年上半年中國網(wǎng)購安全報告》顯示，今年國內每萬名網(wǎng)購消費者中，就有一人被騙，其中不少都是因為掃描來歷不明二維碼或點擊短信上不明下載地址所致。報告顯示，2014年上半年某互聯(lián)網(wǎng)安全中心累計截獲Android平臺新增惡意程序樣本超過84萬個，較去年同比大幅增長381%，較2014年一季度環(huán)比大幅增長191%，移動安全的形勢依舊嚴峻。

　　《報告》顯示，在“中招”用戶中，被木馬惡意“偷取”用戶手機流量和資費的占感染人次總數(shù)的62.9%。據(jù)了解，資費耗損類木馬的猖獗與移動互聯(lián)網(wǎng)灰色產(chǎn)業(yè)鏈有直接關系，廠商或者推廣聯(lián)盟與黑客合作，通過惡意程序的方式大量下載推廣軟件，賺取費用再進行分成。用戶的手機中被裝入大量未知軟件占用空間不說，手機流量還總在不知不覺間被消耗一空。

　　除了二維碼暗藏陷阱，專家還提醒用戶，短信傳播病毒的現(xiàn)象目前最為普遍，通過短信、彩信或聊天工具傳播下載鏈接的蠕蟲式傳播比通過第三方應用市場下載傳播更快。病毒利用通訊錄，發(fā)送的短信帶有收件人姓名，而且來自熟人好友，收件人容易放松警惕。

　　手機安全專家提示，安卓手機下載APP等軟件，一定要選擇有品牌，安全的軟件市場進行下載。不要隨意通過二維碼掃描、論壇鏈接、短信鏈接下載手機軟件，以免中招。

上海網(wǎng)站建設 http://www.cqzz.net

發(fā)布：2007-03-31 10:41 編輯：泛普軟件 · xiaona [打印此頁] [關閉]

相關欄目：