【演播室】

就在不久前，有机构发布了这样一组统计数据，2013年我国的第三方支付市场规模达到16万亿元，其中互联网支付的总计金额已经接近9万亿元，比上一年增加了30.04%；而随着移动互联网的不断普及，移动支付的增加更加迅速，2013年移动支付的金额已经超过了1万亿元，比上一年增长了556.75%。正是因为有了如此惊人的发展速度，网络支付和移动支付的安全问题就更加值得我们关注了，而在调查当中我们发现，现在网络支付和移动支付的安全性还真是没有办法让消费者完全放心。

【正文】

近一段时间，记者接连收到手机用户爆料，其银行卡存款突然不翼而飞。一名福建用户称，银行卡被人从网上利用支付宝、网易宝等第三方支付方式盗刷了6笔2000元钱。

【同期】电话采访福建泉州手机用户

记者：具体什么时间钱被盗走的？

就是4月15号10点。

【正文】

无独有偶，江苏省扬州市警方向记者披露的一起银行卡盗刷案，当事人银行卡被盗刷6万多元。

【同期】江苏省扬州市公安局广陵分局杭集派出所教导员朱凯

1月25号到26号期间，他的一张农业银行的银行卡，被通过这些网上支付平台，被不明身份的人，多次盗刷，总值人民币是6万余元。

【正文】

警方介绍，蹊跷的是，在银行卡被盗刷之前，当事人的银行卡以及保障网银安全的U盾、密码等都没有丢失过，更为奇怪的问题是，在整个盗刷过程中，当事人和银行卡绑定的手机也没有显示出账户变化的提醒短信，直到当事人自己刷卡消费的时候，才发现银行卡被盗刷了。

警方调查发现，被盗刷的6万多元钱，大多用于充话费、购买游戏点卡等网络消费。

按照支付宝等第三方支付平台现有的安全防范措施，只有同时掌握账号、登录密码、支付密码以及短信验证码这四道安全防护密匙，才有可能从网上通过第三方支付平台刷卡转账。而且，每笔刷卡消费或转账，银行也都会给定制了短信提示服务功能的用户手机，下发账户变动提示短信。

那么，到底是谁悄无声息地盗刷了别人的银行卡呢？

北京的一家专门从事网络安全研究的独立第三方机构，对近年来银行卡被通过支付宝盗刷的新闻报道，进行统计分析后发现，部分案例中，因为用户个人不慎，泄露了隐私信息，比如被人用复制身份证补办了手机卡，最终导致银行卡被盗刷。而另外相当一部分的案例，则都是用户被动地因为网络不安全的原因，导致银行卡资金被盗。

【同期】网络安全专家 万涛

被动的行为，就是说你就去上一个Wifi，你只是去咖啡馆喝杯东西，在那儿办办公，正常去使用，你就中了招，你访问的都是正常的网站，开的都是正常的app，在这种情况下你的手机被控制。

【正文】

智能手机主要有苹ios系统和安卓系统，目前，由于安卓操作系统的开放性，一旦暴露出安全漏统，对用户信息安全危害也就更大。那么，这种手机操作系统是否存在安全漏洞，不法分子又是否能够利用这些漏洞入侵用户手机，隐秘地通过支付宝等第三方支付平台盗刷用户银行卡呢？

专家经过仔细研究后发现，一些智能手机，目前的确存在系统安全漏洞，足以对用户手机安全构成严重威胁。

诸葛建伟：清华大学副研究员、国家重大专项课题之《Linux/Android操作系统安全漏洞检测》研究小组负责人。

【同期】手机安全专家诸葛建伟

那我们现在已经拿到用户的这款小米2手机，通过我们的技术分析，我们发现其中存在比较多的安全漏洞。

【正文】

专业技术人员向记者再现了利用这种手机操作系统安全漏洞，对手机发起攻击，隐秘盗刷用户银行卡的完整过程。

【同期】手机安全专家诸葛建伟

攻击者会设置一个公共的钓鱼wifi，通过去配置这样的一款无线路由器，去把它作为用户手机上网的，中间人攻击的一个节点。那如果用户为了省流量，用他的手机连入到这样的一个公共Wifi里，用户的上网流量就会被劫持到攻击者指定的一个笔记本电脑或者是PC上。

【正文】

专家介绍说，一旦手机用户的上网数据流被攻击者劫持，用户点开的任何一个网页，实际上都可能被攻击者暗地里插入了恶意攻击程序，它会利用手机浏览器的安全漏洞，接着在用户手机中自动植入新的木马程序。而这种木马程序又会进一步利用手机操作系统内核中存在的ROOT提权漏洞，这种漏洞会被用来获取原本属于系统自身才能拥有的最高权限，这就意味着攻击者由此获得了手机的完全控制权。

【同期】手机安全专家诸葛建伟

也就是说，他可以去读取手机里面存储的所有的用户的一个隐私信息，以及可以去控制手机上所安装的任何的一个应用(程序)。

【正文】

记者注意到，当用户在手机上输入支付宝账号和密码的时候，这些极其重要的账户认证信息几乎同时暴露在攻击者的电脑屏幕上。