掃一掃，就能打開店鋪網頁;掃一掃，就能快捷支付……只需用手機對著二維碼掃一掃，就能加微信、裝軟件、發名片，甚至網上購物，讓生活變得更簡單、更時髦。但在看到二維碼便捷性的同時，不少人往往忽略了二維碼的來源可靠性。

近日，市民王先生在掃描二維碼后，其支付寶和余額寶竟被悄無聲息地轉走了11000多元。專家分析，這背后可能是一種手機木馬病毒在作祟。警方提醒，提高自身安全意識，不要見“碼”就掃。

陌生“二維碼”掃走萬元

王先生是一家網店店主。11月17日16時17分，正在店內打理生意的他，突然收到一條陌生人通過旺旺(淘寶的一種即時通信軟件)發給他的二維碼消息。

作為網店店主，平時經常會接收到陌生人詢問店鋪商品等的信息，二維碼也在網店銷售中經常使用。所以王先生看到二維碼也沒在意，只用自己的手機掃描了一下。手機網頁很卡，等了約一分鐘，網頁也沒有顯示出來，王先生沒在意，就將手機擱置在一邊。

沒想到半小時后，王先生存在余額寶上的8000多元不翼而飛，支付寶賬戶密碼也被重置篡改。此外，與支付寶綁定的銀行卡內有近3000元存款也被人轉走。

根本不需要手機校驗碼

王先生大驚之下十分納悶。按照常理來說，支付寶或余額寶的每筆支出都應該輸入支付密碼和手機校驗碼確認，但王先生從來就沒收到過校驗信息，錢怎么就被轉走了呢?“每支出一筆款，哪怕就一分錢，手機上應該要收到一個臨時的六位數校驗碼，然后必須輸入這個校驗碼才能成功交易，但當時我什么都沒收到。”

個別人利用程序漏洞謀利

王先生的個案中，盡管最后支付寶與平安產險合作，為王先生給予了全額先行賠付，但是專家認為，盜號事件頻發說明現在手機軟件支付使用安全性仍有待提高。

復旦斐訊系統安全技術研究中心主任楊珉坦言，隨著近年來手機軟件的飛速發展，使用的人群越來越多，但是與此相應的防范軟件卻沒有跟上。“系統都是程序員設計的，在設計過程中會不可避免地出現這樣那樣的漏洞，而這些一般人看不出來的漏洞對于個別‘有心人’來說，卻是他們孜孜不倦去尋找并且可以加以利用的。”

為什么掃一下錢就沒了

木馬病毒藏身二維碼內

為什么只是掃了下二維碼，王先生的手機就被“黑”了，支付寶內的錢款也都被卷走了呢?

楊珉分析，王先生掃二維碼點開的鏈接很有可能已經被植入隱身大盜手機木馬的病毒。二維碼本身只是一個網址，這個網址可能是指向了一個惡意軟件的下載地址，安裝完以后這個軟件就會在終端上或者在手機上模擬用戶操作支付寶賬戶的種種行為，用戶手機里的身份證、銀行卡、支付寶密碼等信息都會被竊取。“這個時候賬戶就不是你自己的了，不法分子會通過重置密碼的方式，‘劫持’你的個人支付寶賬戶。”隨后的轉賬就變得輕而易舉。

楊珉還表示，現今高級的木馬軟件安裝成功后，并不會在桌面上顯示任何圖標，而是直接“潛伏”進入手機后臺軟件，對手機不甚了解的用戶很容易就會“中招”。

王先生密碼如何被篡改

可能事先掌握用戶身份證信息

不僅賬戶密碼被盜，犯罪分子還大膽地篡改了王先生的密碼，這又是如何做到的?記者登錄支付寶頁面發現，輸入賬戶后，選擇“忘記密碼”，隨后會進入密碼找回頁面。如果選擇“手機校驗碼”找回密碼，只需要十秒鐘，就能順利重置密碼。

對此，支付寶方面稱，要重置賬戶密碼絕對不會只需一條手機校驗碼這么簡單，如果識別出用戶可能處在有風險的操作環境下，支付寶會提高修改密碼的驗證門檻。經過內部調查，當天王先生的支付寶密碼在重置時除了要求驗證碼還需要身份證號碼。由此推斷，王先生的身份信息可能早已被泄露。“這個找回王先生賬戶密碼的盜用者一定是知道了他的身份證信息和他的手機校驗碼才能做到的。”

如何繞過手機校驗碼

云端軟件“吞掉”校驗碼

考慮到支付安全問題，支付寶或余額寶的每筆支出除了必須輸入支付密碼外，王先生手機應該還會收到一個系統臨時生成的6位手機校驗碼。兩者皆在才能順利完成支付。但王先生表示，自己從來就沒收到過校驗信息，騙子又是如何繞過這個校驗碼的呢?

楊珉解釋，犯罪分子應該是有目標下手的，“他一定了解王先生是一名淘寶店店主，因此發來的木馬軟件也是具有針對性的，專門針對支付寶等此類支付軟件。”他進一步解釋，木馬程序中還包含一個云端軟件，不僅能獲取王先生的信息，還能截取支付寶平臺發來的校驗碼。“校驗碼是直接被軟件‘吞’了，用戶壓根就收不到，也不會發現自己賬戶出現異常。”

怎么避免類似事件

安裝防護軟件檢測木馬

警方對此建議，市民可以安裝相應的防護軟件。

目前，騰訊、360等公司已經推出帶安全監測功能的二維碼檢測工具，手機用戶掃描二維碼后，可以自動檢測二維碼中是否包含惡意網站、手機木馬或惡意軟件的下載鏈接，降低手機用戶在掃碼后感染惡意軟件、訪問惡意網站的風險。“市民不要盲目隨便掃描來歷不明的二維碼，對于路邊廣告、廣告宣傳單、不明網站的二維碼，應當提高警惕。使用手機二維碼在線購物、支付時，更要保持警惕，看清網站域名，不要輕易點擊反復彈出的小窗口頁面，不要輕易向他人透露自己的身份信息。同時，如果手機和銀行卡綁定，不要在銀行卡內儲存過大數額的資金，避免發生連鎖反應。”