淺析黑客技術利用支付寶快捷支付盜竊資金犯罪

李星廷

【摘 要】第三方支付平臺在網(wǎng)絡購物中起著重要的作用，作為第三方支付平臺的代表——支付寶，近期也推出了支付寶快捷支付業(yè)務，用來提高支付成功率，增加用戶體驗。但是，支付寶快捷支付業(yè)務也暴漏出了許多安全問題，一些黑客分子利用先進的黑客技術通過這些漏洞來竊取用戶與支付寶快捷支付相綁定的銀行卡內(nèi)的資金。文章從支付寶快捷支付的由來，黑客分子利用支付寶快捷支付盜竊資金的手段，打擊防范此類犯罪的措施三個方面來寫。

【關鍵詞】支付寶；快捷支付；盜刷

隨著電子金融業(yè)務的不斷拓展，第三方支付平臺隨地而起，其中最為典型的是支付寶。電子金融業(yè)務在網(wǎng)絡市場中占據(jù)著重要的作用，同樣其在我國的零售行業(yè)所占有的市場份額也在不斷的增加。據(jù)《第30次中國互聯(lián)網(wǎng)絡發(fā)展狀況統(tǒng)計報告》顯示，截至2012年6月止，中國使用網(wǎng)上支付的用戶規(guī)模達到1.87億人，在網(wǎng)民中的滲透率是34.8%。其中，第三方支付和網(wǎng)上銀行支付并駕齊驅(qū)，使用第三方支付余額支付和網(wǎng)銀支付的用戶分別占到了79.2%和75.7%。

支付寶是目前網(wǎng)絡用戶廣泛使用的支付工具，其不光應用在網(wǎng)絡購物中，隨著支付寶業(yè)務的不斷拓展到火車、飛機訂票，預繳電費、煤氣費等與大眾生活息息相關的方面。[1]支a付寶建立之初，大部分的網(wǎng)絡用戶進行網(wǎng)絡購物時，都是通過支付寶平臺跳轉(zhuǎn)到網(wǎng)絡銀行進行支付，這就要求想要網(wǎng)購的用戶必須開通網(wǎng)絡銀行業(yè)務。支付寶公司為了吸引用戶，減少支付環(huán)節(jié)，于2004年推出了支付寶卡通業(yè)務，用戶在購物跳轉(zhuǎn)至支付寶頁面時，只需輸入密碼即可完成支付。但是這需要用戶去銀行單獨申請辦理支付寶卡通。于是為了進一步提高支付體驗，減少釣魚網(wǎng)站的侵襲，支付寶公司又推出了支付寶快捷支付業(yè)務，極大的增加了網(wǎng)上支付的成功率。

隨著支付寶快捷支付業(yè)務的推出，其存在的安全漏洞也日益凸顯。支付寶快捷支付業(yè)務一般都是與用戶的銀行卡進行綁定的，現(xiàn)在已有不少的黑客用戶通過技術手段來竊取用戶的銀行卡賬戶資金，其作案方法主要是：黑客分子首先需要獲取用戶的支付寶賬號和密碼（登陸密碼和支付密碼），其手段主要有以下幾種[2]：一是通過向用戶的電腦發(fā)送掛馬郵件；二是在聊天購物的過程中，通過QQ，阿里旺旺，MSN等聊天工具，發(fā)送掛馬網(wǎng)站的鏈接；三是通過第三方軟件平臺（如天天軟件園，綠色聯(lián)盟等）發(fā)布掛馬的支付寶客戶端，讓移動用戶下載使用。通過以上的手段，用戶在應用電腦，平板，手機等移動通信設備進行支付寶登陸購物時，其支付寶的賬號和密碼都會自動的被黑客用戶竊取。其次，黑客分子就要竊取你的支付寶快捷支付的手機校驗碼，這是黑客分子主要應用一下手段進行竊?。汉诳头肿釉谧约旱挠嬎銠C上安裝網(wǎng)絡電話軟件和來電隨意顯軟件，黑客分子通過這兩款軟件來冒充支付寶快捷支付的客服，以商品購物信息核實或者用戶賬號出現(xiàn)安全問題等方式來獲取用戶收到的手機驗證碼。最后，黑客分子利用以上手段獲取的手機校驗碼即可完成網(wǎng)絡購物的支付環(huán)節(jié)，這時與支付寶快捷支付綁定的銀行卡內(nèi)的資金即可被洗劫一空。此時，有些黑客分子大多通過支付寶快捷支付的漏洞盜刷銀行卡來購買大量的虛擬網(wǎng)絡商品（如QQ幣，手機充值卡等），然后通過下線人員及時的進行二次專賣銷售，從而獲取利潤。也有的黑客分子盜刷銀行卡資金之后進行退貨，然后把退到支付寶賬號內(nèi)的資金進行提現(xiàn)，從而獲取不法資金。

隨之黑客技術的不斷的發(fā)達，支付寶快捷支付的漏洞依然存在，對于用戶綁定的銀行卡的資金造成了極大的威脅[3]。打擊和預防此類犯罪，保障銀行卡資金的安全，需要多方面的共同的努力：

首先，支付寶公司應當加強自身安全防范體系，不斷增加支付寶快捷支付的安全性、可靠性：支付寶公司要不斷升級自身的安全防御系統(tǒng)，保證用戶的信息的安全，防止泄露；支付寶公司應當增加用戶身份識別的準確性，可以比照京東商城，在用戶使用支付寶快捷支付業(yè)務時，要求用戶輸入開通支付寶快捷支付的銀行卡的后4位數(shù)字等等手段來增加用戶身份的識別程度；支付寶公司也要不斷的引進新的SSL等安全協(xié)議等控件，來增加購物的安全性；支付寶平臺也要加強賬戶資金的監(jiān)管，對于一次性購買大量虛擬物品或者一次性大額消費的賬戶進行監(jiān)控，發(fā)現(xiàn)異常的及時凍結；支付寶公司也要加強自身客戶端的研發(fā)和認證，會同有關的軟件下載方，抵制被篡改或掛馬的支付寶客戶端的上傳和下載。

其次，用戶也要不斷的加強自身的安全防范意識：用戶要及時對自己的電腦進行殺毒，防止掛馬郵件等的侵襲；用戶在進行網(wǎng)絡購物時，盡量使用阿里旺旺客戶端進行交流，避免使用QQ等工具，因為阿里旺旺客戶端具有屏蔽一些掛馬鏈接的功能；用戶要從正規(guī)的軟件發(fā)布方進行支付寶客戶端的下載，如APP STORE，安卓軟件園等；用戶在收到支付寶的短信校驗碼時，不要輕易的透漏給他人；用戶對于綁定支付寶快捷支付的手機號碼，不用時要及時注銷；用戶在發(fā)現(xiàn)資金被盜時，可在第一時間在支付寶登陸頁面三次輸入錯誤密碼進行賬號的凍結，對于開通網(wǎng)銀的用戶，可在網(wǎng)銀界面三次輸入錯誤的密碼進行銀行卡資金的臨時凍結，以防止資金的進一步損失。

【參考文獻】

[1]施萍萍.支付寶快捷支付：一把雙刃劍[J].中國外資，2012（14）：203.

[2]劉婧嫻.推“快捷支付” 支付寶繞道網(wǎng)銀[N].中國經(jīng)營報，2011-04-25（B11）.

[3]余德.支付寶推快捷支付 開放平臺硝煙彌漫[N].經(jīng)濟觀察報，2011-06-20（19）.