女子4.7萬存款被第三支付平臺轉走 因手機被植入木馬病

　　現在，使用第三方支付平臺交易變得越來越普遍了，但安全性也讓人擔憂。日前，重慶的吳女士就在不知情的情況下，銀行卡里的錢被第三方支付平臺轉走了，這究竟是怎么一回事呢？

　　據央視新聞報道，2015年7月26日，家住重慶的吳女士突然發現銀行卡里存的錢沒了，結果一查看到47600塊錢在當天凌晨被莫名其妙地轉走了，這下吳女士徹底慌了神：卡沒丟，密碼只有自己知道，卡里的錢難道能自己溜掉？更難理解的是銀行卡和手機是綁定的，為什么發生交易卻沒有短信提示呢？

　　情急之下，吳女士趕緊報了警。警方查到吳女士銀行卡里的錢是在一家第三方電子支付平臺上被轉走的，這家公司的注冊地址在昆明，而與此同時，昆明警方也接到這家公司的報案，稱該公司發生了900多萬元異常轉賬。

　　第三方電子支付平臺的系統不存在漏洞，也沒遭到黑客的攻擊，而轉賬又非本人操作，這讓事情變得更蹊蹺了。

　　用戶在第三方電子支付平臺上申請帳號時需要核對個人信息，包括真實姓名和身份證號碼，核對成功后，才能開通賬戶和捆綁銀行卡。警方調查發現，案發當天也就是吳女士的錢被轉走的同時，這家公司的電子支付平臺上共有109個新注冊賬戶向平臺轉賬，緊接著又將錢轉到另外33個銀行卡里提現，一共是有900多萬元，這里面就包含了吳女士的錢。

轉賬不察覺？原是手機被植入“木馬”

　　警方初步懷疑黑客攻擊的不是第三方電子支付平臺，而應該是用戶，也就是說黑客在掌握了用戶資料信息后，利用電子支付平臺轉賬作案。那么，用戶的銀行卡和身份信息這把“金鑰匙”究竟是在哪個環節落入了黑客的手中呢？

　　在被盜的109張銀行卡用戶中，吳女士就是其中之一，她自己從沒有注冊過昆明的這家第三方支付平臺賬戶，與銀行卡進行綁定也更不可能是她操作的。另外，吳女士也很肯定自己的銀行卡、身份證、手機都未曾丟失過。

　　但是，據她回憶案發前她的手機曾收到過一條很奇怪的短信，內容是以交警部門的口吻通知她查詢車輛違章，由于短信里準確地寫著她的名字和車牌號，這讓吳女士沒有多想就點了短信里的網頁鏈接，然后安裝了一個程序。

　　隨后，民警對這個運行程序進行了研究和分析。在民警對這個應用軟件做進一步實驗時，發現它一旦成功安裝到手機上后，就會主動刪除手機桌面上的圖標，然后隱藏在手機后臺一直運行，手機恢復出廠設置也無法刪除這個軟件。

　　而它不僅會攔截手機短信，還能將手機鈴聲調成靜音外，然后把手機中存有的文本文檔、短信、通訊錄，打包傳送到指定的郵箱中，這一切的操作都能讓用戶察覺不到。

　　吳女士手機被植入的這個木馬病，目的就是盜取個人信息。像吳女生平時從事裝修行業，那么她經常會把自己的姓名、銀行卡號用短信的方式發給客戶，黑客也就輕而易舉地獲取了吳女士銀行卡號和身份信息。

　　當犯罪分子掌握了吳女士等109人的這些信息后，在第三方電子支付平臺上進行轉賬作案。之所以利用第三方電子支付平臺作案，往往是因為黑客不知道用戶銀行卡密碼，而在第三方電子支付平臺上轉賬往往不需要銀行卡的密碼，只需要銀行卡的注冊信息，這就給了犯罪分子可乘之機。

　　當犯罪分子在第三方支付平臺綁定吳女士的銀行卡時，只需要填寫銀行卡的注冊信息，通常包括銀行卡號、注冊手機號、和向注冊手機號發送短信驗證碼，這些信息黑客能用植入木馬程序獲取到，而用戶一般不會將銀行卡密碼通過手機暴露，因此黑客想獲取銀行卡密碼不是很容易，但是第三方支付平臺輸入的交易密碼和銀行卡本身的密碼是不一樣的。

　　銀行卡與第三方支付平臺綁定后，所有轉賬和交易權限都是使用開通支付平臺時所設置的密碼，而這個密碼是犯罪分子自己設置的，也就是說，通過第三方支付平臺交易跳過了需要知道銀行卡密碼這個環節。躲過了這一步，吳女士等受害人的資金大門就完全向黑客們敞開了。

　　在摸清情況，掌握犯罪手法后，警方根據黑客綁定的收件箱逐步查到嫌疑人的落腳點，日前涉案嫌疑人在廣西落網。

　　警方從抓獲的犯罪嫌疑人的電腦中提取到用于交易的公民個人信息1000余萬條，其中包括“新生兒”、“疫苗注射”、“殘疾人”、“銀行客戶”等18類公民個人信息。

　　在此警方提醒，遇到莫名來電或短信，一定提高警惕切勿輕易相信，一旦發現了異常情況馬上凍結個人銀行卡，向警方報案。