二維碼與第三方支付平臺安全探討

摘 要：隨著二維碼的廣泛應(yīng)用，通過掃描二維碼下載手機(jī)程序成為快捷的下載手段。第三方支付平臺通過短信驗證碼的方式來重置密碼給支付平臺的安全帶來了嚴(yán)重的隱患。通過對二維碼、手機(jī)木馬、第三方支付平臺重置密碼過程的分析，給出了支付平臺被盜用的過程和防范措施。

關(guān)鍵詞：二維碼；手機(jī)木馬；第三方支付

中圖分類號：TP311.52

2013年11月，江蘇開網(wǎng)店的汪女生掃描了客戶發(fā)過來的二維碼之后，支付寶中的資金被盜用，造成了18萬元的經(jīng)濟(jì)損失。我們不禁要問，一個小小的二維碼，何以造成支付寶被盜用？其中的緣由到底是什么呢？

1 關(guān)于二維碼

二維碼[1]（2-dimensional bar code），又稱二維條碼，最早起源于日本，它是用特定的幾何、圖形按一定規(guī)律在平面（二維方向）上分布的黑白相間的圖形，是所有信息數(shù)據(jù)的一把鑰匙。我們現(xiàn)在網(wǎng)絡(luò)上常見的碼制是QR_CODE。二維碼的制作非常簡單，我們可以在百度上搜索二維碼在線生成，就可以將文本信息、網(wǎng)址、文件、手機(jī)程序的下載地址、圖片等制作成二維碼。Android手機(jī)平臺下的程序安裝包后綴為apk，圖1為用安卓手機(jī)軟件“正點日歷”的下載地址http：//cdn.market.hiapk.com/data/upload//2013/12_18/16/com.zdworks.android.zdcalendar_163835.apk制作的二維碼。通過手機(jī)二維碼掃描軟件掃描后會自動出現(xiàn)下載頁面，提示用戶下載。

圖1

二維碼只是信息的一種編碼方式，從原理上講，其本身并不包含病毒，但可以將釣魚網(wǎng)站的網(wǎng)址或惡意手機(jī)程序的下載地址制作成二維碼誘騙手機(jī)用戶掃描，從而達(dá)到非法目的。

2 手機(jī)木馬-驗證碼大盜[2]

金山毒霸安全中心發(fā)現(xiàn)，受害者資金被盜之前，大多有使用安卓手機(jī)掃描二維碼，或者使用安卓手機(jī)接收、安裝不明apk文件的經(jīng)歷，這些二維碼或apk文件中隱藏了一種新型的木馬病毒，它能夠攔截受害者手機(jī)短信中有關(guān)網(wǎng)銀或第三方支付網(wǎng)站發(fā)送的驗證碼等關(guān)鍵信息，通過短信或郵箱轉(zhuǎn)發(fā)給不法分子，而受害者卻毫無察覺。金山毒霸將這類病毒取名為“驗證碼大盜”。

360手機(jī)衛(wèi)士和網(wǎng)秦日前也分別截獲名為“隱身大盜”和“窺私大盜”的手機(jī)木馬變種，這類木馬啟動后會自動隱藏圖標(biāo)，并偽裝成系統(tǒng)應(yīng)用在后臺偷偷運行，竊取手機(jī)系統(tǒng)信息、通訊錄、短信等發(fā)送給黑客，重點竊取網(wǎng)銀支付等驗證短信，直接威脅受害者網(wǎng)銀和網(wǎng)上支付安全。

3 第三方支付的重置密碼

第三方支付平臺，例如淘寶、支付寶[3]等給網(wǎng)上購物帶來了極大的便利，但第三方支付平臺的重置密碼功能給不法分子帶來了可乘之機(jī)。圖2為支付寶的登錄界面，登錄名為用戶手機(jī)號或者郵箱。下面有“忘記登錄密碼？”的鏈接。

圖2

點擊“忘記登錄密碼？”的鏈接后進(jìn)入下面的頁面。

圖3

輸入用戶手機(jī)號碼和驗證碼后，點擊“下一步”，進(jìn)入下面的頁面。

圖4

點擊“立即找回”進(jìn)入下面的頁面。

圖5

點擊“點此免費獲取”按鈕后，支付寶平臺就會發(fā)給手機(jī)一個含有驗證碼的短信，通過輸入驗證碼和身份證號碼后就可以在忘記登錄密碼的情況下重置登錄密碼了。通過上面對支付寶平臺重置密碼的過程分析，我們看到支付平臺的安全關(guān)鍵就在于用戶手機(jī)上獲得的驗證碼短信，而手機(jī)號碼和身份證號這些信息很容易泄露。支付寶賬號的支付密碼同樣可以通過上述方法進(jìn)行重置。而淘寶賬戶的重置密碼只需要手機(jī)短信中的驗證碼，連身份證號碼都不用輸入。

4 盜刷流程分析

不法分子首先通過誘騙手機(jī)用戶掃描二維碼來達(dá)到在用戶手機(jī)上安裝“驗證碼大盜”手機(jī)木馬的目的，然后通過第三方支付平臺的重置密碼功能試圖重置用戶的登錄密碼和支付密碼，在這期間，用戶手機(jī)上的木馬程序會把收到的驗證碼短信轉(zhuǎn)發(fā)到不法分子的手機(jī)上，不法分子輸入驗證碼即可重置登錄密碼，用相同的流程重置支付密碼，至此，不法分子就接管了用戶的網(wǎng)上支付功能。

5 安全防范措施

從以上的分析可見，第三方支付平臺重置密碼功能安全的關(guān)鍵是用戶的賬號信息、身份證號碼、短信驗證碼信息。所以應(yīng)從以下幾方面來加強安全防范[4]：（1）個人信息的保密，包括手機(jī)號碼、身份證號碼、郵箱賬號等。（2）不要輕易掃描陌生人發(fā)過來的二維碼進(jìn)行手機(jī)軟件安裝，不從個人站點下載安裝手機(jī)程序。（3）安裝手機(jī)安全軟件，例如360手機(jī)安全衛(wèi)士、金山手機(jī)毒霸、騰訊手機(jī)管家等，對不明網(wǎng)址和軟件進(jìn)行安全檢測。

6 結(jié)束語

二維碼的廣泛應(yīng)用給手機(jī)用戶帶來便利的同時，也給不法分子可乘之機(jī)。我們在使用手機(jī)掃碼的時候要提高安全意識，安裝手機(jī)安全軟件幫助我們攔截手機(jī)木馬程序。同時在使用第三方支付的時候更要提高警惕，注意個人信息的保密，確保資金安全。

參考文獻(xiàn)：

[1]張茹，劉明業(yè).二維條碼在信息安全領(lǐng)域的應(yīng)用研究[J].計算機(jī)工程與科學(xué).2004年02期.

[2]新華網(wǎng).http：//economy.jschina.com.cn/system/2013/11/22/019387588.shtml.

[3]張小琴.第三方支付風(fēng)險的分析及監(jiān)管[J].青海金融，2011（09）.

[4]支付寶登錄首頁.https：//www.alipay.com/.

作者簡介：李寶友（1975.03-），男，河北撫寧人，中學(xué)一級教師，本科，主要從事計算機(jī)教學(xué)；張志廣（1975.08-），男，河北撫寧人，講師，碩士，主要從事網(wǎng)絡(luò)安全和軟件開發(fā)的研究。

作者單位：撫寧縣職教中心 電大部，河北秦皇島 066300；河北科技師范學(xué)院 數(shù)學(xué)與信息科技學(xué)院，河北秦皇島 066004