“比如在二手商城上，攻击者伪装成卖家的身份，以超低价格出售物品，等‘鱼’上钩。在与买家交流时，以各种名义将木马程序发送给买家，诱骗对方点击并完成木马植入。”万仁国补充说，“这些受害人以学生居多，因为他们中大多数人资金有限，倾向于购买二手商品，而在选择购买的过程中，对价格非常敏感的特点被一些攻击者利用，从而遭受损失。”

汪女士的案例正好符合第一个场景。汪女士被攻击者群发的恶意信息所迷惑，用手机扫描了带有木马的二维码。其实，攻击的原理并不复杂，由于二维码可以添加链接，在这个案例中，攻击者就为二维码添加了带有下载并安装木马程序的APK(安卓系统安装文件)链接，汪女士在扫描二维码的同时，手机开始下载木马并安装，当木马被植入后，后续的攻击就完全由木马程序来完成。

安全与快捷的博弈

那么，木马是如何将汪女士支付宝账户，甚至相关联银行账户的资金转走的呢?

毫无疑问，木马程序截取了受害者支付宝账户的用户名、密码，并可以读取手机上的短信。要知道，大多数第三方支付系统的身份认证方式正是账号加密码加短信验证码。当木马程序植入手机之后，就可以很轻松地获取这三者，从而替代受害者进行身份认证，进行非授权操作。

然而，另一个问题是，受害者银行卡上的资金是如何被攻击者转移的呢?这是因为受害者开通了第三方支付平台的快捷支付功能，或者是在受害人的手机被植入木马后，木马程序操纵手机开通了快捷支付功能。

在搜索引擎上，关于“快捷支付安全漏洞”的报道颇多。快捷支付功能在2011年由支付宝首创，现在很多第三方支付产品都提供快捷支付功能，其目的在于让用户的支付行为更为快捷方便。有过电子支付经历的人都知道，在通常的电子支付流程中，即使是通过第三方支付平台进行付款，在付款时系统也会跳转到相关银行的网上银行页面，在不同的银行进行不同的付款操作，成功后返回到第三方支付乃至商家的页面。显然，这样的支付流程较为繁琐，用户体验较差。

而快捷支付的出现，让这一流程简化了许多。如果用户在第三方支付平台开通了快捷支付功能，将银行卡关联到第三方支付平台上，那么用户甚至不再需要开通网上银行，直接凭借第三方支付平台的账号、密码和短信，就可以实现相关联银行卡上的资金划转。快捷支付相当于绕过了银行的安全体系，将自己作为用户支付的唯一入口。

“在电子支付领域，商业银行软件系统的整体安全性还是比较高的，比如网银登录基本采用安全控件方式，支付过程采用双因素身份鉴别技术，但第三方支付软件系统采用密码和验证码方式居多。”中国软件评测中心金融测试事业部总经理郭宇告诉记者。

安全与便捷永远对坐在跷跷板的两端，当便捷跷得很高时，安全可能就会处在一个较低的位置。文章开头上海王先生的案例实际上就是一起盗刷案件，攻击者通过某些手段获取了王先生的各类信息，然后以伪造的身份证件向电信运营商申请手机卡号挂失和补发，又利用支付机构的快捷支付功能实现资金的转移，完成了一次典型的补卡攻击。

“补卡攻击实际上利用了手机SIM补卡漏洞和动态密码，从而造成消费者的经济损失，因此补卡攻击的攻击效果十分显著。”飞天诚信科技股份有限公司的技术专家朱博士告诉记者。

电子商务观察者、万擎咨询CEO鲁振旺表示：“第三方支付平台的风险关键存在于快捷‘支付密码’的设置上。当手机和银行卡绑定后，捡到手机的人不需要输入卡号，就可以获取密码，这是第三方支付平台存在的巨大隐患，而且这个隐患越来越严重。”

不过，不可否认的是，快捷支付让用户的支付体验得到了大幅提升，对于快捷支付是否存在安全漏洞，也并非都是口诛笔伐。

支付宝相关负责人认为：支付宝内部拥有强大的安全和风控团队，是安全可靠的。补卡攻击的起因在于攻击者利用伪造的身份证件向电信运营商补办SIM卡，这是支付宝不可控的。