比危险更可怕的东西，是我们面对危险而不自知，自认为那是别人比较2才会犯的错误，而当自己遭遇不幸的时候才追悔莫及。千鸟在淘宝买邮票被骗了（）， 金额5.4W算是不小的数字，纵观他的整个操作流程，虽然加QQ、打开exe文件这些都是被千遍万遍提到的网购忌讳，但是扪心自问我们在自己遭遇这种情 况，在我经过支付宝的登陆密码、手机动态口令、数字证书、支付密码多重保护后，有多大的几率会因为过于相信自己的经验自大而受骗。

千鸟是一个老网虫，也是一个互联网从业者，他和很多混互联网的人一样喜欢网购，乐于享受支付宝、网银这种E时代支付方式带来的便捷，对于网络钓鱼、诈骗也有足够多的防范意识，而千鸟这样典型用户所犯的错误也很容易被我们重现，更遑论那些更大比例的普通用户了。同类骗子木马针对的是支付宝，这次被骗事件远没有你想象的那么简单，隐蔽性和危害性远超你的想象，而支付宝已经成为大多数网络商城的标配支付工具，波及面也可能不是我们臆想的那么小。
首先来还原一下事件过程：①千鸟在淘宝联系一个卖邮票的商家，对方表示联系老板QQ会有更多优惠。②千鸟不疑有他，通过QQ联系到这名自称老板的人。③对方通过QQ发送了产品实物图，事实上是一个包含exe可执行文件的压缩包，这个文件可能是被捆绑图片的exe文件，图标已经被修改具有很大迷惑性，双击发现不妥后但是千鸟仍然信任支付宝的三重保护机制，最后继续交易。④多次通过支付宝进行支付未成功，实际上这些交易已经被劫持，资金已经被转移。
整个交易过程中，给大家的教训除了不要用QQ等第三方IM工具、不要擅自接收不明文件等老生常谈的话题外，留下更多是新产生的巨大问号。千鸟在支付过程中已经足够小心：为预防钓鱼网站，我每一步都仔细验证了是否真正的淘宝链接，确认都没问题；为预防键盘记录，我在输入密码采用了交叉和混淆的安全措施，应该也比较保险。支付宝的三重乃至四重保护机制（登陆密码、手机动态口令、数字证书、支付密码）都无法保障交易安全吗？这是否意味着支付宝自身安全机制存在着重大漏洞？整个诈骗过程究竟是如何实现的？
昨天晚上正好看到在聊这事儿，事实上同类的诈骗木马在去年就被发现了，他去年11月就写了一篇文章进行过，交流过一会儿大概了解了以下一些细节：

1. 这事儿其实和支付宝没太大关系，在你付款的时候交易已经被劫持了，说得明白一点就是支付页面已经跳转到使用其它在线支付工具的页面了，已经在后台帮你创建了一个同金额的交易，当然为了欺骗消费者这个页面完全抄袭了支付宝的页面风格，这些钱实际就进到了非支付宝的第三方户头里面。
2. 木马的功能就是用来劫持交易，判断用户就要使用支付宝进行交易了，立刻跳转到指定的钓鱼页面。你是不是想问为什么地址栏没有发生变化，据老李称这是因为”病毒会创建贴图挡住，病毒接管浏览器会话，https对交易单的内容没有保护能力，病毒就在把交易单内容给改了，然后把正常的交易单挂着，自己再弄新的交易单，骗中毒者提交。“，这一劫持方式对所有浏览器、所有网银、在线支付工具都适用。
3. 在诱骗付款完成后，骗子又会让钓鱼页面跳转回支付宝的付款信息页面，这个页面将会显示付款失败，诱导用户重复支付、多次受骗。
4. 骗子会尽快通过多种方式、多种渠道将骗到手的钱化整为零，通过各种方式来疯狂洗钱，大多数网络交易金额太小，警察叔叔也许都不会立案，最后你会发现追查几乎是一个不可能完成的任务。

这时候你能够了解这种诈骗方式的可怕之处，由于IE不会再地址栏显示出任何变化，所以骗子才能够悄无声息地绕过支付宝的保护机制，轻轻松松把用户手里的钱揣进自己口袋。另外一个问题是，安全软件、安全辅助软件是否存在较大漏洞，能否有效阻截这部分隐蔽性极高的诈骗木马？老李推荐了自家的金山毒霸和竞争对手360安全卫士，相对而言其它安全辅助软件只是在做拦截钓鱼网站和识别病毒的传统路子，这话是老李说的，仅给大家参考。
另外有一个有意思的话题，为什么支付宝一直以来只支持IE？尽管近期开始支持Firefox、Chrome等第三方浏览器，但也是通过桥接的方式间接支持，换言之你在Linux或Mac下面很多功能几乎没办法使用。如果说数字证书是为了保障消费安全，据了解国外的Paypal、Google Checkout均未使用类似技术，大家都知道这是一个中国式潜规则，希望支付宝能够勇敢跨出第一步，不要只围绕数字证书、安全控件做文章，通过更通用、更安全的方式保障用户资金安全。
希望这篇文章不会被看作是金山的公关文，老李那篇文章最后本来有金山毒霸的ad，最后在我严刑伺候之下已经去掉了。良好的操作习惯是最好的保障，在看到这么厉害的木马之后网购更要谨慎了，祝大家都好运，希望千鸟能早日追回钱款，给大家提供相关木马的演示视频（）和分析文档（）。
作者：XJP 非商业网站转载须以链接形式注明来源，商业媒体及纸媒请先联系。
文章链接：