无银行卡密码能盗支付宝资金 专家称三漏洞可被利用

 

只要绑定了银行卡，输入银行卡号、手机验证码就可以付款，而这种不需要银行卡密码的支付方式也在业内引起了安全质疑。业内质疑快捷支付安全问题的同时，记者发现，银行间对快捷支付绑定的每日限额差别竟然达到百倍。对此，支付宝方面昨日表示，不少资金被转走的案例发生是因为消费者在使用的过程中感染了手机木马病毒造成的，个人信息遭到泄露才会引发盗刷现象。

 

不法分子凭身份证号、银行卡号和绑定手机号即可盗窃

近日，一位市民涂先生向媒体表示，其8月5日意外地收到银行发来的短信，显示他的银行卡内1.4万元先后6次在淘宝发生交易。

 

此类案件频繁发生，记者了解到，支付宝快捷支付打着双密码验证、网购有优惠的旗号，称其具有“网上开通不用跑银行、无需网银不用随身携带U盾、购物享受担保交易保障、支付宝支付密码+手机验证码双重保障”等功能，且支持手机、iPad等各种终端，覆盖淘宝、天猫、凡客、当当等上万商家为噱头，吸引消费者。

 

记者调查发现，由于不需要银行卡密码就可以操作快捷支付，因此不法分子只要知道持卡人的身份证号、银行卡号以及绑定银行卡的手机号，然后用假身份证复制手机卡，再通过第三方支付平台的快捷支付功能就能实施盗窃。

 

各方声音

支付宝：多为手机木马致信息泄露

支付宝方面对此表示，案例中，涂先生的遭遇是典型的手机木马，“目前常见的诈骗方式就是有人冒充买家和卖家联系，发一个链接看有没有货，当卖家点击接收，就会中了木马，其手机收到的校验码就会通过程序直接转发到盗用者的手机号码上，相当于是所有的敏感信息都会被劫持到。”

 

专家：三类漏洞可被利用

据金山网络提供的信息显示，目前不法分子可以利用的网络支付漏洞有：一是安卓后门，不法分子在安卓软件中暗藏手机后门，其中一些后门具有拦截手机短信的功能。盗贼可以重置用户支付宝以及银行账号的支付密码;其次是山寨客户端。不法分子通过推出山寨客户端获取用户信任，从而获得用户的密码信息，而在支付环节可直接转移用户资金;三是钓鱼网站，比较多见的钓鱼形式如假冒银行身份群发短信，内容涉及用户银行账户安全信息。

 

来源：中国电子银行网