手机购物移动支付很时尚 “第二钱包”有风险

　　最新数据显示，我国移动支付用户规模达到2.05亿，半年度增长率为63.4%，网民手机支付的使用比例已提升至38.9%，达5.27亿。伴随着消费迈入移动支付时代，越来越多的手机成为“第二钱包”，但移动支付的安全性仍遭到不少质疑。

　　手机被绑，木马病毒劫走验证码

　　郑州市民陈女士的银行卡与支付宝绑定，并开通了快捷支付功能。按理说当她在网上消费时，会收到银行通过短信发送的验证码，凭支付密码和验证码才能成功付款。但今年1月20日凌晨5点多，20分钟之内，陈女士的银行账户通过支付宝平台转出了6510元，陈女士却没有收到任何通知。直到当天傍晚她才发现，随后赶紧挂失和报警。

　　陈女士认为，银行和支付宝没有能够保障自己的资金安全，在交易进行时，自己根本就没有收到任何短信通知。陈女士认为银行和支付宝没有尽到安全保障的职责，将他们一同告上法院，要求赔偿自己的损失，但最终被法院判决驳回。

　　专家支招

　　交通银行电子银行部的马先生表示，陈女士这样的情况，应该是中了木马病毒，将电子银行的验证码转到了别人的手机上，而这样的情况，无论是银行方面还是支付宝方面，是不太可能监控到的。而河南移动公司的技术人员王先生则认为，类似这种情况，运营商也无法实时监控到，“我们光在河南就有4000万用户，如果很短的时间内短信被劫持，光在系统排查就需要很多时间，只能提供事后的短信记录。”王先生说，目前这种事情只有事先防范，养成定期查询手机话费的习惯，并且核对清单，同时要提高安全意识，不要装来历不明的软件，同时安装手机安全软件，及时更新并查杀病毒。

　　退款骗局，千万别输个人信息

　　“3月14日下午，我在淘宝天猫商城上的健客大药房网购了一台血压计，收货人为我妻子，两个多小时后，有人给我妻子打电话说我订购的血压计现在没货，需要退款，然后给我妻子提供了一个网站，并让我妻子把银行信息输入到该网站，致使我妻子被骗走3012元钱。”今年3月20日，郑州市民黄先生向本报反映网购被骗的遭遇。

　　黄先生说，他在天猫商城上的健客大药房花费318元网购了一台血压计，并留了妻子的电话。随后，有个男子用号码为“132”开头的手机给黄先生妻子打电话，问她是不是在网上购买了一台血压计，该男子不但知道她的电话，还知道她的名字和送货地址，她回答说确实购买了一台血压计。该男子说，她购买的这台血压计现在没货了，需要马上退款，不然的话这笔款就要冻结了，并提供了一个网站，说可以在这个网站上办理退款手续，并一步一步指导她在网站上操作。

　　按照该男子的指令，她把退款银行卡的账号输入到了该网站，当时，该男子还要求她输入银行卡密码，她有点犹豫。该男子说：“你放心吧，你输入的银行卡密码系统上显示的是圆点，除了你自己，别人谁都不知道。”她这才把银行卡密码也在该网站上输入。

　　等操作完，她突然感觉到有点不对劲，赶紧给银行打电话，被告知当天下午5点19分，她在网上消费了3012元钱，该笔钱已被转走，她这才知道自己被骗了。

　　专家支招

　　工商银行河南省分行电子银行部的专家告诉记者，黄先生夫妇其实是遇到了钓鱼网站诈骗。

　　“目前从我们接到的投诉来看，这是网购诈骗中最常见的一种方式。”工行电子银行部的技术人员说，除了加大打击力度和鼓励用户投诉，一般情况下，最好不要接收陌生人发来的文件和网址，更不要打开。支付宝公司公关部负责人介绍说，在淘宝和天猫购物，退款是走站内流程的，不存在任何“冻结资金”或者需要到其他网站进行操作的情况，遇到这样的情况，直接打支付宝的客服电话或者银行客户核实就可以，千万不要输入个人银行卡号和密码。“总之，我们的建议就是，不管是谁，只要有人跟你要银行卡号和验证码，都不要给他。”工行电子银行部的技术人员说。

　　连环诈骗，“小龙女”也被骗

　　别以为只有见识不够多的普通人才会受骗，明星和他们的经纪人，也会被骗。

　　9月中旬，知名演员李若彤的经纪人邓女士发布微博称，自己遭遇电信诈骗，在打开一个假网站并插上U盾之后，银行账户内的所有钱被一卷而空。

　　9月10日，身在上海的邓女士接到了一个陌生来电，来电人自称是朝阳区公安分局的工作人员。这名“工作人员”说，邓女士涉嫌贩毒等罪已经成为通缉犯，并主动要求她拨打114查号台以辨真伪。邓女士拨打电话确认该号码是朝阳分局的办公电话后，对方要求其挂断电话，等待公安局主动来电。

　　随后，另一名自称公安局工作人员的男子拨打了邓女士电话，让其登录一家网站的洗黑钱频道，邓女士吃惊地发现自己的个人资料在上面一清二楚，并且明确写着，由于她涉嫌贩毒、洗钱等罪名已经被通缉。在对方的要求下，邓女士登录这个网站后，将内地一家银行的U盾插在了电脑上，几秒钟之后，邓女士发现账户上所有的人民币已经被全部转账。

　　光大银行电子银行部的李先生分析认为，李若彤的经纪人邓女士几乎遭遇了目前电子银行领域诈骗的所有招数，可以说是遭到了“连环套”。

　　“首先是电话改号诈骗，通过改号软件可以轻易地将拨出的电话修改成任意号码。”李先生说，现在很多骗子把自己的电话改成真实的公安机关或者检察院的电话，即使受害人打电话查询，得到的结果也是这个号码没问题。

　　接着，骗子又让邓女士登录假冒的“中华人民共和国最高人民检察院”网站，查看自己的“犯罪记录”，这也是很常见的招数了，“一般咱政府机构的官方网站都是以gov.cn为后缀的。”河南联通的技术人员赵宏说，这种骗子网站其实也很好被发现。

　　“其实，之前的电话也好，网站也罢，都是幌子，目的是为了让你下载木马程序。”李先生说，之所以在插上U盾后也会被划走资金，主要是在访问那个假冒的“中华人民共和国最高人民检察院”网站时，被植入了木马，这样，当受害者使用U盾时，在远程就能控制这台电脑迅速登录网银将钱转走，“这种事情我看过案子，大概是30多秒就能完成。”李先生说，这个骗局组合了假电话、假网站和黑客等多种手段，如果被骗到最后一步时，真的是再高明的技术人员也救不回来了。“不过只要在前两步及时发现骗子的手法，基本上能够保证账户资金无忧。”李先生说，公安机关绝对不会让你查询所谓的“犯罪记录”，更不会要你的身份证号，不要打开任何别人传过来的网站，就能保证自己的手机银行安全。

　　手机被偷，自绘键盘也不安全

　　郑州市民王一凡最近遇到了一件奇怪的事情，她买了一部新的智能手机，之后在银行办理业务时，客户经理推荐她办理了手机银行，自从知道手机银行的APP采用的是“自绘键盘”技术，一般人根本猜不出按键密码后，王女士就放心地通过手机银行进行网购了。

　　可是就在十一前，她的手机被人偷走了，并且被破解了手机银行密码，资金被划走了。

　　“我办业务的时候，银行的客户经理跟我说，手机银行采用的是自绘键盘，不可能被破解的啊。”说起这事，王女士就有点郁闷。

　　专家支招

　　招商银行电子银行部的一位技术人员说，虽然从键盘的安全性来分析，自绘键盘的安全级别比较高，可以切断系统默认输入法与系统和银行客户端的直接联系，防止被能记录键盘数据的恶意程序监控，但并不是百分之百的。“我见过一种破解方式，能够通过其他方式从后台监控到键盘位置的输入记录。“这位技术人员说，前段时间，一家安全中心就对16款移动支付软件进行了安全性测试，其中只有7款app采用了自绘随机键盘，2款采用了系统默认键盘，其余均采用了自绘固定键盘，而除非采用自绘随机键盘，否则无法最大程度避免被键盘监听类恶意程序“偷窥”。

　　密码+短信也不保险，要小心

　　可能有朋友会问了，现在很多手机银行都是采用了账号密码+短信验证的形式，没有我的手机卡，谁能盗我的银行卡呢?

　　如果你也这么想，那真的是大错特错了，要知道，手机的木马程序可不同于PC，因为是直接同手机相连接，所以这种依靠短信的防护机制在面对具有短信劫持功能的手机木马攻击时，可以说会变得十分脆弱。

　　一款名为“劫银刺客”的手机木马，就是靠点击的短信链接来盗取用户的银行卡、身份证等信息的。同时该木马会拦截银行或网银端发来的支付验证码短信，神不知鬼不觉地盗取网银资金。

　　专家支招

　　交通银行电子银行部的专家表示，为了尽量避免造成损失，大家还是应该养成在官网下载手机银行的习惯，同时不要轻易扫描陌生人发送的二维码、点击陌生的短信链接。如果发现手机突然变卡，记得使用安全软件扫描一遍，必要时不要吝惜给银行打电话，申请冻结银行相关业务。

　　二维码和wifi，也存在着风险

　　二维码应用普遍，防范意识差的用户见码就扫，很容易受骗下载安装恶意软件。中消协就指出，一些不法分子将有病毒或带恶意插件的网址生成一个二维码，对外宣称是优惠券、软件或视频，诱导用户扫描，达到获取推广费用或恶意扣费的目的。有媒体报道称，北京刘女士在扫描二维码参加团购时，二维码中含有手机病毒，导致她的手机被扣除了百元话费。

　　免费的wifi上网也存在着风险。10月2日，央视《消费主张》以“危险的WiFi”为题，报道了无线网络存在的安全隐患问题。在央视的节目中，记者就与国内某知名安全公司的两位安全工程师进行了这样一场“钓鱼”实验。他们模拟黑客，在北京火车站和王府井商业区分别设置了名为BEIJINGFREE和WANGFUJING-FREE的两个免费WiFi热点，不设密码，作为“诱饵”引诱附近的网民连接，一旦“钓鱼”成功，网民在网络上的一举一动，甚至其手机型号、打开的应用名称及上网信息，如浏览过的网页、机主QQ号码、微信朋友圈照片、淘宝、微博账号等信息，均会被黑客(此免费WiFi分享者)截获。

　　专家支招

　　河南电信公司的技术专家表示，二维码和wifi实际上是最容易被加载恶意病毒、插件和被监控的两种方式，一旦你的手机误用了有毒的二维码或者wifi，手机上的任何操作，包括手机银行的密码，都会被截获。因此，不乱刷二维码，不乱蹭免费WIFI，应该是保证自身支付安全的最基本常识。