早上看《沈阳晚报》的报道《女子网购卖家发布二维码点链接支付宝被划500元》，甚是感到疑惑，上个月也有网友在微博爆料，和老公睡觉到半夜，收到提醒说支付宝花钱了。据了解，这样的案子最近越来越多，到底是支付宝不安全还是你的手机中毒了？雄歌和你扒一扒个中原委。

骗子们是这样玩的

雄歌与支付宝相关人士交流，获得信息如下，目前存在一种“短信拦截的病毒软件”，骗子会用各种方式骗你安装，目前最流行的方式是冒充卖家，通过微信等渠道和你交流，以“确认购买”和“优惠打折”等方式发送二维码，说服你安装。

之后这个软件就在你的手机里安营扎寨，私自获取你的手机号码并拦截包括支付宝在内的各种需要验证的短信，以此轻易的获取你的各类账号和密码，如此，文章前面出现的场景就不断出现了。

大公司有没有责任？

问题出现的关键环节是扫描二维码，那么那些主流的提供二维码扫描的手机应用厂家有没有责任呢？

据猛科技团队调查发现，目前用户使用的二维码扫描软件基本上是可以访问所有链接的，也就是说微信可以扫描淘宝的，支付宝也可以扫描微信的各种连接，同时，大家都做到了“用户提醒”（只有少数的扫描工具根本没有提醒功能请谨慎使用），例如提醒是否安装apk或者访问网址。

（上图为支付宝手机客户端界面）

在这个看似简单的流程中，其实是可以做一些文章的，一种办法是对二维码的生成和扫描进行独立的加密，例如支付宝客户端的扫码支付必须是同一个账号购买的商品，雄歌刚刚测试，就无法“替别人支付”。第二种做法是扫码的时候，如果遇到非该网站域名的二维码需要进行安全提醒，甚至用户无法访问，大众点评就是这样做的。第三种做法是一旦有用户上当，网站平台应该提供举报功能，迅速建立黑名单制度，避免受害面积扩大。

（上图为猛科技编辑测试支付流程，采用二维码支付）

目前在这些安全机制上还不够健全，特别是由于各家公司的安全系统并没有统一管理，也无法打通，不法分子就充分利用这个漏洞，例如就特地绕开阿里的交易支付环境，在别的渠道和用户进行交流，并实战钓鱼等各种欺诈手段。

归根结底还是中国安全环境堪忧

一位互联网资深人士告诉雄歌，大家都知道之前当当网用户信息泄露的事，毫不夸张的说，整个中国互联网完全处于“裸奔时代”。一方面监管难，情况复杂，另一方面是网民的安全意识薄弱，买了手机越狱的不占少数，买个安卓刷下root很流行，下载乱七八糟的软件也是常态，更别说新的变种，让你扫描二维码了。

有网友爆料，北京某运营商曾提供月费5元开通短信转移的功能，这就存在巨大的安全隐患。因此，就短信拦截这个致命的情况，也不是某家公司能做到安全的，需要国家出面、运营商联合管控、手机应用厂家配合支持，形成安全联盟。据了解，国家网监部门也大力督查此类事件，但一查到某个省份，就进行不下去了。这项“事业”就是俗称的“黑产”。

说说支付宝的态度

根据相关报道显示，目前包括支付宝、微信支付都联合保险公司对此项案件进行了“保险”，例如支付宝会针对类似案件配合报案处理，并联手平安保险对买家进行赔付。但本质上还是需要网民有更强的安全意识。支付宝内部人士告诉雄歌，这是个用户培养过程，越来越多的人已经具备较高的网络安全意识，避免信息泄露。

最后，雄歌给广大的购物达人的建议是：

1、  手机不要越狱和刷root

2、  不要下载和安装非主流的软件

3、  不要随便扫描二维码

4、  尽量使用官方的安全的支付客户端进行支付

5、  尽快安装靠谱的手机安全软件，用360的还是腾讯手机管家，你们自己看着办吧！

（猛科技）