網(wǎng)上支付多一道手機(jī)短信驗(yàn)證碼，這樣更安全嗎?未必。在剛剛過(guò)去的雙十一網(wǎng)購(gòu)狂歡送中，有不少網(wǎng)友反映，他們?cè)跊](méi)有收到手機(jī)短信驗(yàn)證碼的情況下，網(wǎng)銀賬戶被人盜刷，或者第三方支付賬戶出現(xiàn)了異常。

　　多家安全廠商發(fā)現(xiàn)，一種專門針對(duì)安卓手機(jī)的木馬病毒，正在通過(guò)二維碼或apk文件傳播，它能夠攔截用戶手機(jī)短信中有關(guān)網(wǎng)銀或第三方支付網(wǎng)站發(fā)送的驗(yàn)證碼等關(guān)鍵信息，神不知鬼不覺(jué)地盜取網(wǎng)銀資金。

　　4分鐘被盜刷3萬(wàn)元

　　11月10日深夜，上海寶山區(qū)的一位周先生在睡夢(mèng)中連續(xù)收到銀行發(fā)來(lái)的4條短消息，顯示他的某個(gè)銀行網(wǎng)銀賬戶在4分鐘內(nèi)通過(guò)支付寶快捷支付方式分四筆支出總計(jì)3萬(wàn)元，讓周先生不解的是，此前綁定手機(jī)的短信驗(yàn)證碼，他一條也沒(méi)有收到。

　　一位名為“老虎家三小姐”的網(wǎng)友也在新浪微博上透露，其網(wǎng)銀賬戶在11月3日被人分三筆盜走1.1萬(wàn)元，不僅手機(jī)短信驗(yàn)證碼沒(méi)收到，連銀行短信都沒(méi)有。

　　中招的不限于網(wǎng)購(gòu)買家，家住浙江諸暨的淘寶賣家錢女士在向買家介紹產(chǎn)品時(shí)，刷了客戶提供的一個(gè)二維碼，結(jié)果支付寶賬號(hào)被盜，對(duì)方用她的支付寶賬號(hào)向阿里小貸貸款1.1萬(wàn)元。山東一位淘寶賣家的支付寶賬號(hào)被盜后，黑客買家用他的支付寶賬號(hào)向阿里小貸貸款5000元。他們都發(fā)現(xiàn)，本來(lái)應(yīng)該接收到的手機(jī)短信驗(yàn)證碼，沒(méi)有發(fā)送到他們綁定的手機(jī)號(hào)碼。

　　雖然支付寶方面按照承諾先行賠付了被盜賬戶，但這些案例暴露出網(wǎng)上支付一個(gè)新的安全隱患：手機(jī)短信驗(yàn)證碼未必安全。

　　盜取短信不留痕跡

　　原本用于二次驗(yàn)證網(wǎng)上支付的手機(jī)短信驗(yàn)證碼，去了哪里呢?

　　金山毒霸安全中心發(fā)現(xiàn)，受害者資金被盜之前，大多有使用安卓手機(jī)掃描二維碼，或者使用安卓手機(jī)接收、安裝不明apk文件的經(jīng)歷，這些二維碼或apk文件中隱藏了一種新型的木馬病毒，它能夠攔截受害者手機(jī)短信中有關(guān)網(wǎng)銀或第三方支付網(wǎng)站發(fā)送的驗(yàn)證碼等關(guān)鍵信息，進(jìn)而盜取網(wǎng)銀資金，而受害者毫無(wú)察覺(jué)。金山毒霸將這類病毒取名為“驗(yàn)證碼大盜”。

　　據(jù)金山毒霸安全專家李鐵軍介紹，通過(guò)分析近200個(gè)驗(yàn)證碼大盜，發(fā)現(xiàn)有的是直接攔截所有手機(jī)短信到黑客的手機(jī)上，這時(shí)受害者手機(jī)將無(wú)法收到任何短信;有的只攔截含“銀行、驗(yàn)證碼、支付”等關(guān)鍵字的短信，這種攔截更加隱蔽，等受害者發(fā)現(xiàn)異常時(shí)，銀行卡余額已被洗劫。

　　360手機(jī)衛(wèi)士和網(wǎng)秦日前也分別截獲名為“隱身大盜”和“窺私大盜”的手機(jī)木馬變種，這類木馬啟動(dòng)后會(huì)自動(dòng)隱藏圖標(biāo)，并偽裝成系統(tǒng)應(yīng)用在后臺(tái)偷偷運(yùn)行，竊取手機(jī)系統(tǒng)信息、通訊錄、短信等發(fā)送給黑客，重點(diǎn)竊取網(wǎng)銀支付等驗(yàn)證短信，直接威脅受害者網(wǎng)銀和網(wǎng)上支付安全。

　　只憑短信驗(yàn)證碼，銀行卡和支付賬戶里的錢怎么會(huì)丟呢?李鐵軍說(shuō)，手機(jī)短信實(shí)際成為網(wǎng)銀支付、快捷支付的重要驗(yàn)證方式。網(wǎng)銀功能的開通、支付工具的登錄和消費(fèi)，很多都使用手機(jī)短信驗(yàn)證身份，手機(jī)被安裝了攔截短信的木馬，就相當(dāng)于把手機(jī)交給了別人。

　　而這個(gè)控制你手機(jī)的人，又通過(guò)其他渠道獲得受害者網(wǎng)銀或第三方支付信息，比如，有些突出便利性的信用卡在網(wǎng)上支付的時(shí)候，只需要填寫卡號(hào)末四位和驗(yàn)證碼，“驗(yàn)證碼大盜”等木馬病毒很容易就能攔截到這類短信。既有賬號(hào)，又有關(guān)鍵的驗(yàn)證碼，你的銀行賬戶相當(dāng)于一個(gè)打開的錢包，完全暴露在他人面前。手機(jī)短信驗(yàn)證碼的有效期一般是10分鐘，黑客有足夠的時(shí)間進(jìn)行惡意支付。

　　多重驗(yàn)證提升安全

　　支付寶方面表示，沒(méi)有哪一種支付方式100%安全，支付寶的風(fēng)險(xiǎn)是十萬(wàn)分之一。從幾起失竊案件來(lái)看，受害者既有網(wǎng)購(gòu)買家，也有賣家，黑客以“產(chǎn)品細(xì)節(jié)圖”或“訂單詳情”等做誘餌，引誘受害者在手機(jī)上點(diǎn)擊鏈接或二維碼，而被盜取驗(yàn)證碼的手機(jī)，無(wú)一例外是安卓手機(jī)。

　　對(duì)此，安全專家表示，除了在手機(jī)上安裝安全產(chǎn)品進(jìn)行必要的查殺和攔截，以及不要隨意安裝第三方論壇的apk文件或ROM刷機(jī)包，用戶還必須養(yǎng)成良好的手機(jī)使用習(xí)慣，不要一味追求便利，還是要將安全放在首位。

　　首先，不要輕易掃描來(lái)歷不明的二維碼，二維碼已經(jīng)成為手機(jī)木馬病毒傳播的一條重要渠道。

　　其次，如有可能，在支付環(huán)節(jié)盡可能進(jìn)行多重驗(yàn)證。比如有客戶有兩部手機(jī)，在用手機(jī)購(gòu)物的時(shí)候，一部用于購(gòu)物，另一部用于接收驗(yàn)證碼，防止被人“一鍋端”。

　　當(dāng)某些支付需要從客戶端軟件跳轉(zhuǎn)到手機(jī)瀏覽器的時(shí)候，用戶在瀏覽器中填寫的任何信息，包括賬號(hào)、密碼、驗(yàn)證碼、信用卡有效期等，都會(huì)被瀏覽器默認(rèn)保存。因此，支付結(jié)束后要立即清除瀏覽數(shù)據(jù)。當(dāng)然，無(wú)論是客戶端，還是手機(jī)瀏覽器，最好不要勾選保存賬戶和密碼，這樣即使手機(jī)丟失，也不至于泄露個(gè)人隱私。

　　在安裝手機(jī)應(yīng)用的時(shí)候要注意權(quán)限管理，假如一款手機(jī)游戲應(yīng)用，安裝時(shí)提示擁有讀取手機(jī)通訊錄、通話記錄、短消息等權(quán)限，要想一想，這種權(quán)限是否有必要。

　　此外，鑒于手機(jī)的重要性，用戶可以在設(shè)置屏保密碼的基礎(chǔ)上，對(duì)某些敏感應(yīng)用二次加密，目前小米桌面等軟件可以實(shí)現(xiàn)加密甚至隱藏應(yīng)用的功能。