無銀行卡密碼能盜走支付寶資金 疑是木馬病毒作怪

　　隻要綁定了銀行卡，輸入銀行卡號、手機驗証碼就可以付款，而這種不需要銀行卡密碼的支付方式也在業內引起了安全質疑。業內質疑快捷支付安全問題的同時，記者發現，銀行間對快捷支付綁定的每日限額差別竟然達到百倍。對此，支付寶方面昨日表示，不少資金被轉走的案例發生是因為消費者在使用的過程中感染了手機木馬病毒造成的，個人信息遭到泄露才會引發盜刷現象。 文/記者李婧暄 實習生盧娜

　　不法分子

　　憑身份証號、銀行卡號和綁定手機號即可盜竊

　　近日，一位市民涂先生向媒體表示，其8月5日意外地收到銀行發來的短信，顯示他的銀行卡內1.4萬元先后6次在淘寶發生交易。

　　此類案件頻繁發生，記者了解到，支付寶快捷支付打著雙密碼驗証、網購有優惠的旗號，稱其具有“網上開通不用跑銀行、無需網銀不用隨身攜帶U盾、購物享受擔保交易保障、支付寶支付密碼+手機驗証碼雙重保障”等功能，且支持手機、iPad等各種終端，覆蓋淘寶、天貓、凡客、當當等上萬商家為噱頭，吸引消費者。

　　記者調查發現，由於不需要銀行卡密碼就可以操作快捷支付，因此不法分子隻要知道持卡人的身份証號、銀行卡號以及綁定銀行卡的手機號，然后用假身份証復制手機卡，再通過第三方支付平台的快捷支付功能就能實施盜竊。

　　銀行間限額差別百倍

　　“這和銀行並沒有太大的關系，都是屬於第三方支付方式的劃扣。”一位股份制銀行電子銀行部相關人員表示，此前傳統的支付方式，客戶必須在網銀的界面上確認才能完成支付，是由銀行直接接收客戶支付指令，而第三方支付只是提供了一個通道。

　　此外，對於快捷支付的限額，各家銀行的規定不一，同時，多家銀行均在單筆交易金額、每日累計轉賬上限等方面做出各種限制性調整。昨日記者撥打了多家銀行的客服熱線，詢問得知，限額最低的是建設銀行方面，賬號支付快捷支付為每日限額1000元，單筆限額不超過日限額。而工商銀行，信用卡快捷支付單筆限額和當日累計為5000元。招商銀行規定個人銀行大眾版網銀支付的單日交易限額最高5000元，單筆不超過日限額，但客服稱有個別支付網站日限額隻有400元，如財付通支付。

　　此外，部分銀行的單筆支付限額則高得驚人，如民生銀行儲蓄卡快捷支付單筆限額和日累計為5萬元，而更高的還有中國銀行方面，普通儲蓄卡快捷支付單筆限額和日累計額不超過50萬元，可見銀行間的每日限額差別可達千百倍。

　　各方聲音

　　支付寶：

　　多為手機木馬致信息泄露

　　支付寶方面對此表示，案例中，涂先生的遭遇是典型的手機木馬，“目前常見的詐騙方式就是有人冒充買家和賣家聯系，發一個鏈接看有沒有貨，當賣家點擊接收，就會中了木馬，其手機收到的校驗碼就會通過程序直接轉發到盜用者的手機號碼上，相當於是所有的敏感信息都會被劫持到。”

　　專家：三類漏洞可被利用

　　據金山網絡提供的信息顯示，目前不法分子可以利用的網絡支付漏洞有：一是安卓后門，不法分子在安卓軟件中暗藏手機后門，其中一些后門具有攔截手機短信的功能。盜賊可以重置用戶支付寶以及銀行賬號的支付密碼﹔其次是山寨客戶端。不法分子通過推出山寨客戶端獲取用戶信任，從而獲得用戶的密碼信息，而在支付環節可直接轉移用戶資金﹔三是釣魚網站，比較多見的釣魚形式如假冒銀行身份群發短信，內容涉及用戶銀行賬戶安全信息。