多家安全廠商發現，一種專門針對安卓手機的木馬病毒，正在通過二維碼或apk文件傳播，它能夠攔截用戶手機短信中有關網銀或第三方支付網站發送的驗證碼等關鍵信息，神不知鬼不覺地盜取網銀資金。

　　4分鐘被盜刷3萬元

　　11月10日深夜，上海寶山區的一位周先生在睡夢中連續收到銀行發來的4條短消息，顯示他的某個銀行網銀賬戶在4分鐘內通過支付寶快捷支付方式分四筆支出總計3萬元，讓周先生不解的是，此前綁定手機的短信驗證碼，他一條也沒有收到。

　　一位名為“老虎家三小姐”的網友也在新浪微博上透露，其網銀賬戶在11月3日被人分三筆盜走1.1萬元，不僅手機短信驗證碼沒收到，連銀行短信都沒有。

　　中招的不限于網購買家，家住浙江諸暨的淘寶賣家錢女士在向買家介紹產品時，刷了客戶提供的一個二維碼，結果支付寶賬號被盜，對方用她的支付寶賬號向阿里小貸貸款1.1萬元。山東一位淘寶賣家的支付寶賬號被盜后，黑客買家用他的支付寶賬號向阿里小貸貸款5000元。他們都發現，本來應該接收到的手機短信驗證碼，沒有發送到他們綁定的手機號碼。

　　雖然支付寶方面按照承諾先行賠付了被盜賬戶，但這些案例暴露出網上支付一個新的安全隱患：手機短信驗證碼未必安全。

　　盜取短信不留痕跡

　　原本用于二次驗證網上支付的手機短信驗證碼，去了哪里呢?

　　金山毒霸安全中心發現，受害者資金被盜之前，大多有使用安卓手機掃描二維碼，或者使用安卓手機接收、安裝不明apk文件的經歷，這些二維碼或apk文件中隱藏了一種新型的木馬病毒，它能夠攔截受害者手機短信中有關網銀或第三方支付網站發送的驗證碼等關鍵信息，進而盜取網銀資金，而受害者毫無察覺。金山毒霸將這類病毒取名為“驗證碼大盜”。

　　據金山毒霸安全專家李鐵軍介紹，通過分析近200個驗證碼大盜，發現有的是直接攔截所有手機短信到黑客的手機上，這時受害者手機將無法收到任何短信;有的只攔截含“銀行、驗證碼、支付”等關鍵字的短信，這種攔截更加隱蔽，等受害者發現異常時，銀行卡余額已被洗劫。

　　360手機衛士和網秦日前也分別截獲名為“隱身大盜”和“窺私大盜”的手機木馬變種，這類木馬啟動后會自動隱藏圖標，并偽裝成系統應用在后臺偷偷運行，竊取手機系統信息、通訊錄、短信等發送給黑客，重點竊取網銀支付等驗證短信，直接威脅受害者網銀和網上支付安全。

　　只憑短信驗證碼，銀行卡和支付賬戶里的錢怎么會丟呢?李鐵軍說，手機短信實際成為網銀支付、快捷支付的重要驗證方式。網銀功能的開通、支付工具的登錄和消費，很多都使用手機短信驗證身份，手機被安裝了攔截短信的木馬，就相當于把手機交給了別人。

　　而這個控制你手機的人，又通過其他渠道獲得受害者網銀或第三方支付信息，比如，有些突出便利性的信用卡在網上支付的時候，只需要填寫卡號末四位和驗證碼，“驗證碼大盜”等木馬病毒很容易就能攔截到這類短信。既有賬號，又有關鍵的驗證碼，你的銀行賬戶相當于一個打開的錢包，完全暴露在他人面前。手機短信驗證碼的有效期一般是10分鐘，黑客有足夠的時間進行惡意支付。

　　多重驗證提升安全

　　支付寶方面表示，沒有哪一種支付方式100%安全，支付寶的風險是十萬分之一。從幾起失竊案件來看，受害者既有網購買家，也有賣家，黑客以“產品細節圖”或“訂單詳情”等做誘餌，引誘受害者在手機上點擊鏈接或二維碼，而被盜取驗證碼的手機，無一例外是安卓手機。

　　對此，安全專家表示，除了在手機上安裝安全產品進行必要的查殺和攔截，以及不要隨意安裝第三方論壇的apk文件或ROM刷機包，用戶還必須養成良好的手機使用習慣，不要一味追求便利，還是要將安全放在首位。

　　首先，不要輕易掃描來歷不明的二維碼，二維碼已經成為手機木馬病毒傳播的一條重要渠道。

　　其次，如有可能，在支付環節盡可能進行多重驗證。比如有客戶有兩部手機，在用手機購物的時候，一部用于購物，另一部用于接收驗證碼，防止被人“一鍋端”。

　　當某些支付需要從客戶端軟件跳轉到手機瀏覽器的時候，用戶在瀏覽器中填寫的任何信息，包括賬號、密碼、驗證碼、信用卡有效期等，都會被瀏覽器默認保存。因此，支付結束后要立即清除瀏覽數據。當然，無論是客戶端，還是手機瀏覽器，最好不要勾選保存賬戶和密碼，這樣即使手機丟失，也不至于泄露個人隱私。

　　在安裝手機應用的時候要注意權限管理，假如一款手機游戲應用，安裝時提示擁有讀取手機通訊錄、通話記錄、短消息等權限，要想一想，這種權限是否有必要。

　　此外，鑒于手機的重要性，用戶可以在設置屏保密碼的基礎上，對某些敏感應用二次加密，目前小米桌面等軟件可以實現加密甚至隱藏應用的功能。