短信轰炸、勒索病毒:风尖浪口的支付巨头

这几天的行业不怎么太平,两大巨头纷纷“摊上了事儿”。前有“宝红包”事件,后有“”卷土重来,捆绑微信支付。腾讯和支付宝这下成了难兄难弟。

然而无论是支付宝的“赚钱红包”,还是微信的扫码支付,原本皆是出于或便捷支付体验目的而推出的功能,现在却被有心之人加以利用,成为了牟利的工具。随着事件的发酵,移动支付的安全性再次站在了风尖浪口之上。

“赚钱红包”的“套路”

近日,不少人表示收到了以“支付红包”为开头的短信,更有甚者一天能收到数条短信的“轰炸”,短信中附带不同的一连串数字。对此支付宝官方回应道,这些短信并非官方发送。

那么这些看上去颇有诈骗气质的红包短信到底从何而来,目的又何在呢?

究其种种,首先要明确短信中的“支付宝红包”到底是什么。

这里的“红包”,实际上是指“赚钱红包” ,蚂蚁金服客户中心官方微博表示,“赚钱红包"是为了奖励线下商家推广移动支付而推出的一项活动,用户在线下付款时,商家推荐用户扫码领红包,用户可以直接使用抵扣现金,而商家也能获得相应的赏金。而短信中的一连串数字,则是红包的搜索码。

值得注意的是,初看是使商家和用户互惠互利的一项推广活动,实际上对“线下付款”这一要求并没有硬性规定,支付宝APP上显示,“赚钱红包”也能直接将搜索码发给朋友来领取,并且发码人同样能够赚取赏金。

十字财经调查发现,“赚钱红包”早已成为部分自媒体实现流量迅速变现的新渠道,通过发布红包搜索码获得不菲的赏金已成为较为普遍的现象。

再回归事件本身,弄清了“赚钱红包”的逻辑,相信明眼人对这些短信的真实目的已心中有数。如果自身并非话题领袖,也不具有流量,又该如何吸引用户搜索自己的红包码而获利呢?显然,轰炸短信成为了这些人的选择。据了解,此类短信主要是通过106短信营销平台等方式,直接向某个手机号段的用户集体发送,以诱导用户领取推广者的红包。因此并非同部分用户担心的那样是支付宝官方泄露了用户手机号码。

为了私人利益而产生的短信轰炸,却因提供了渠道而无辜沦为“背锅侠”,对于这从天而降的无妄之灾,支付宝官方也是迅速作出回应,12月3日,蚂蚁金服客户中心官方微博作出澄清,称轰炸短信并非支付宝官方发送,且过度推广的方式骚扰了用户,也破坏了赚钱红包的用户体验。在活动规则中,支付宝已经明确不能采用滥发短信等过度推广的方式,否则会采取取消活动参与资格等措施。

目前,针对滥发短信的情况,支付宝已在用户领取红包的页面开放了投诉通道。并正在通过并正在通过技术手段预防和处理。一旦推广者遭遇多个用户投诉,或者系统判断推广者的行为符合滥发短信的特征,系统会自动大幅降低佣金使其无法获利,甚至撤销其活动参与资格。

低配版WannaCry捆绑微信支付

同样被推上风尖浪口的还有微信支付。

支付红包事件闹得沸沸扬扬之际,向来与其明争暗斗不断的微信支付,此刻却被迫 “患难与共”。

12月1日,腾讯安全管家接到若干用户求助,称遭遇勒索病毒攻击,这是国内首次出现要求微信支付赎金的勒索病毒。

据每日经济新闻报道,本次的微信支付勒索病毒,在感染后会加密txt、office文档等有价值,并在桌面释放一个“你的电脑文件已被加密,点此解密”的快捷方式,随后弹出解密教程和收款二维码,最后强迫受害用户通过手机转账缴付解密酬金。但此次勒索病毒没有修改文件后缀名。

与一年半之前大闹互联网的WannaCry勒索病毒类似,此次的新病毒更像是WannaCry的低配版本。

首先,该病毒不收取比特币,而是要求受害者扫描弹出的微信二维码支付赎金。该勒索病毒加密文件后会弹窗提示,要求用户在今年12月3日之前交付110元赎金解密,金额仅为WannaCry的近十九分之一,如果超出时间,则服务器会自动删除密匙。而“微信支付”的方式,相较于具有隐匿性的比特币,也更容易进行追踪。据悉,涉及勒索收款的账号已于12月2日晚被列入异常名单。

除此之外,该勒索病毒由易语言编写,易语言是一门以中文作为程序代码的编程语言,属于初级入门级语言,且病毒传播者使用的“账号操作V3.1”等易语言工具会直接被杀毒软件查杀。

尽管技术上不构成威胁,勒索病毒仍在不断地快速扩散。据中新网报道,截至12月3日,已有超过两万用户感染该病毒,被感染电脑数量还在增长。除了锁死受害者文件勒索赎金外,该病毒还大肆偷窃支付宝、百度云盘、qq账号等app的密码。

对此,腾讯与12月4日发表官方回应表示,微信已第一时间对所涉勒索病毒作者账户进行封禁、收款二维码予以紧急冻结。同时,微信用户财产和账户安全不受任何威胁。微信对任何形式的网络黑产犯罪“零容忍”。支付宝安全中心也表示,早有针对性的防护,已第一时间跟进,目前没有一例支付宝账户受到影响,即便密码泄露也能最大程度的确保账户安全。

移动支付在国内不断普及,用户基础不断扩大,然而高度便捷的背后也伴随着高度的风险。

随着行业的不断发展,获客变得愈发艰难,而扫码、红包则成为了巨头们抢占支付场景、增强用户粘性的重要手段。

原是支付宝为获客与营销目的而推出“赚钱红包”,却成为部分人“另辟蹊径”的牟利工具。而当扫码已然成为用户的一种日常习惯,其背后却蕴藏着诸如微信支付勒索病毒的巨大安全隐患。

值得注意的是,即使此次的红包短信轰炸与勒索病毒风波表面上并没有构成巨大的威胁,也并无带来什么无可挽回的严重后果,但对于国内正高速发展的移动支付行业来说,它们的意义不仅仅是一次很快被平息的危机,更是给予全行业的一次警醒:高科技从来不等于高安全。