新華社天津11月20日專電 (記者 周潤健)近日,來自上海的一位淘寶賣家向360網購先賠中心舉報說,前不久,他用手機掃描了一下買家發來的二維碼,結果遭遇了“二維碼騙局”,損失了5000元。
鄒先生是一名淘寶賣家。不久前,一位陌生買家主動與他聯系,在聊天消息里發來一個二維碼,說“用手機微信掃一下就可以看到想買商品的詳細資料”。
為了做成生意,鄒先生立刻拿出手機掃描了二維碼,卻沒看到什么購買信息,于是發消息詢問,對方稱,“下載安裝后直接點開就可以看到了”。鄒先生沒多想,在安裝二維碼中的軟件后,對方以“方便聯系”為由索要了他的手機號碼,然后借口有事離開。
鄒先生本來也沒在意,但一個小時后,他忽然發現自己的旺旺賬號登不上了,發現密碼已經被人修改,之后他再查看支付寶賬戶,發現不光余額中的3000元被盜,與支付寶綁定的銀行卡也被消費了2000元,而他的賬戶也已被關聯到了一個陌生手機號注冊的支付寶賬戶上。
360網購先賠中心分析發現,鄒先生掃描的二維碼被植入了一款名為“隱身大盜”的手機木馬,“對于網上支付賬戶來說,由于手機號本身也是賬戶名,黑客在監視鄒先生手機短信后,再以短信驗證的方式操作支付賬戶重置密碼,從而控制了鄒先生的網上支付賬戶。”360安全專家表示,由于支付寶“找回密碼”還需要驗證身份證號,騙子很可能事先已經通過其他途徑獲取鄒先生的身份證號,再進行定向攻擊。
360安全專家表示,二維碼不能“見碼就掃”,尤其要警惕陌生人發來的二維碼,例如帶有軟件下載、賬號登錄網頁的二維碼,應立即關閉頁面。如果手機曾經掃描過可疑二維碼,應使用專業安全軟件進行查殺,以免遭遇短信泄露甚至財產損失。