掃二維碼能盜支付寶？

流 言

隨智能手機的普及，黑白相間的二維碼已經深入人們的日常生活，成為了連接線上、下的重要渠道。無論是微博、微信還是其他應用，都能夠打開相機，識別出二維碼。但掃二維碼有可能會使得手機中毒，從而使得支付寶賬戶被盜取。

真 相

有人會把木馬放到網盤裏，然后生成一個二維碼。只要有人掃了這個二維碼，木馬便會植入手機，不法分子就會知道手機號。不法分子會用支付寶密碼“手機校驗碼找回”功能修改支付寶登錄密碼，從而截取淘寶、銀行發過來的短信，並迅速綁定各類快捷支付平台，划走賬戶內的錢。支付密碼的被盜更是多種多樣，比如有的犯罪分子會讓用戶輸入支付密碼來獲取優惠；還有的人直接在阿里旺旺上管對方要身份證號，是予以登記等。

去年12月13日，朱女士在淘寶網店裏看中一件500元的毛衣，拍下后，賣家要送她“紅包”，但要先用手機掃一下她發來的二維碼。朱女士欣然同意，用手機掃了碼。隨后，她再上網時發現，不僅衣服沒拍成，自己支付寶賬戶也少了4萬元。

警方調查發現，支付寶賬戶之所以出現問題，是因為朱女士手機掃碼后“中毒”。怎麼掃描一個二維碼就能“中毒”，還讓賬戶被盜呢？

本案犯罪嫌疑人李某接受媒體採訪時，揭開了騙術謎底。李某稱，幾個月前QQ群裏一個老鄉傳給他一個尾碼為“apk”的木馬程序。他把該木馬放到網盤裏，然后生成一個二維碼。隨后李某又花150元買到一個淘寶店鋪，然后傳上一些時尚漂亮衣服的照片，價格定得較低。只要顧客有意向購買，他便會發二維碼給顧客，承諾“只要手機掃碼，便能優惠”。“掃了后，木馬便植入手機，我很快就能知道手機號。支付寶賬號很多就是手機號，只剩下搞密碼了。”李某。此時，他便會用支付寶密碼“手機校驗碼找回”功能，支付寶會給綁定手機發一個校驗碼短信。

“這是關鍵，木馬能攔截短信，並自動發到我的手機上來，受害者本人卻看不到。”李某。有了校驗碼，他就可修改支付寶登錄密碼，而且能截取淘寶、銀行發過來的短信，如驗證碼等，並迅速綁定各類快捷支付平台，划走賬戶內的錢。

這樣的詐騙犯罪並不是個案。去年11月，福建一對母女在未核實來源的情況下掃描二維碼，半小時內手機銀行賬戶被盜刷200多萬元。今年2月，浙江嘉興汪女士在淘寶交易中掃二維碼時遭遇了陷阱，18萬元被對方轉走。

據北京郵電大學教授馬嚴介紹，製作這樣的木馬程序並不困難，“攔截功能很多軟件都有。這木馬高明在攔截之后，能把信息傳送到另外的手機上，類似於呼叫轉移功能。這與近幾年發生的複製手機卡的方式差不多，都是掌握了對方手機。”

掌握手機之后，就“暢通無阻”了嗎？記者實驗了支付寶找回密碼的過程。支付寶分為登錄密碼和支付密碼兩種，登錄密碼只能進入支付寶進行查賬等一般性操作，而任何資金流轉都需要再輸入支付密碼，且二者不能相同。“忘記登錄密碼”后，只需要輸入發送到手機的校檢碼，就能立刻修改密碼；“忘記支付密碼”，則需要除了手機校檢碼之外，還需要支付寶綁定的銀行卡號和身份證號。由此可見，盜取支付密碼更加複雜，需要知道對方的更多信息。

從不同受害者向警方反映的情況來看，支付密碼的被盜多種多樣。有的犯罪分子通過二維碼進行了很深入的誘騙，比如讓用戶輸入支付密碼來獲取優惠，通過木馬來獲得支付密碼；還有的人直接在阿里旺旺上管對方要身份證號，是予以登記；還有一種情況就是犯罪分子確實掌握了對方的資料，例如身份證號和銀行賬號等。

二維碼其實就是網址的“圖片版”，當你收到郵件“您已中獎，請登錄www.xxxx.com”的時候，你會打開網頁嗎？二維碼同理，如果打開網頁，木馬病毒就會趁機植入手機。

另外，從各種案件的曝光來看，木馬程序都是以“apk”為結尾，這是典型的安卓應用程序。馬嚴認為，安卓應用市場的混亂監管不嚴，給了犯罪分子可乘之機。與之相比，蘋果系統就稍微好點。它應用來源非常單一，只能是官方的App Store。“它的審核非常嚴格，任何應用膽敢擴大權限，是不可能通過審核的。”當然，越獄的蘋果就沒有這層保護傘了，因為在破解之后，很多應用的下載方式繞過了App Store。(《科技生活》周刊供稿)