法治周末记者 马树娟

　　2015年春节期间，热度最高的词无疑是“抢红包”。随着腾讯、阿里系均重兵布局，2015年春节抢红包大战空前激烈。在这红火热闹的背后，一些不法分子也打起了“抢红包”的歪主意。

　　为了保障用户的参与安全，两大巨头也是使出了浑身解数，严阵以待。支付宝工作人员告诉法治周末记者，为了确保安全，只有实名认证账户的用户才能参与红包活动，并且风险监控系统(CTU)7*24小时对用户的红包操作行为进行实时信息传输和监控。

　　腾讯微信工作人员向记者表示，微信主要通过终端防护及时控制抢、发红包的有害源头；依靠大数据分析和挖掘能力，对恶意抢、发红包的行为实施拦截；通过数据分析和用户举报对已经发生恶意抢、发红包行为进行快速回溯，及时冻结可疑账号及资金。

　　猎豹移动安全专家李铁军和北京知道创宇安全专家周景平都向法治周末记者表示，在此次抢红包大战中，其实只要接入正规的微信、支付宝、QQ接口，出现的安全事件并不多，目前一些风险事件主要来自于披着“红包”外衣的“李鬼”们和抢红包插件。

　　钓鱼链接披上红包外衣

　　腾讯公关部相关人士对法治周末记者坦言，事实上微信每天都能检测到成百上千个企图对微信进行干扰的钓鱼网站和各类恶意插件，对此微信安全团队都会实时进行拦截并向用户作出提示。

　　而为了逃避微信的防护打击，一些恶意红包病毒选择转移诈骗阵地。李铁军告诉法治周末记者，春节期间，猎豹监测到一些病毒伪装成红包，大多通过邮箱、QQ等点对点的方式向用户发去链接，诱导用户点击链接，进而跳转到钓鱼网页实施诈骗。

　　2月17日，福州一位王先生在手机QQ上领红包时，收到了一个好友请求，验证留言为“下软件，自动抢红包”，经常参与抢红包的王先生不由得心动了。

　　在添加成为好友后，对方自称是阿里巴巴公司员工，公司有整点送红包活动，王先生有幸中奖，可以获得支付宝内部抢红包软件。

　　依照对方提供的链接，王先生下载了所谓的支付宝内部软件“聚红包”，并根据要求输入了自己的支付宝账户、密码等信息以完成注册，后对方又以系统出现故障为由，要求王先生重新点击链接进行注册。

　　然而在重新输入相关信息后，不到半个小时王先生支付宝账户中的3000多元钱就被转走，对方也将王先生从好友中删除。

　　此时王先生才意识到被骗了，无奈之下，他选择了报警。2月27日，法治周末记者辗转从福州警方了解到，目前该案件尚未破获。

　　临近春节时，360手机安全中心也截获了一款名为“红包大盗”的手机木马。360手机安全专家对法治周末记者披露，该恶意软件伪装成微信红包和支付宝红包，从图标、页面、字体等方面，都和微信、支付宝的界面非常相似，不少手机用户因此上当。

　　当用户不慎安装后，“红包大盗”就会伪造钓鱼界面诱导手机用户输入银行卡号、身份证号、手机号等敏感数据，同时还会截获用户手机中新到的短信，而且还可以控制当事人的手机向外私发短信。

　　周景平对法治周末记者介绍，这种诈骗手法其实是较为传统的钓鱼欺诈方式，只是在春节期间被不法分子用到了抢红包这一应用场景上而已。

　　“相对于伪基站的大范围传播，这种钓鱼欺诈多采用点对点的传播方式，波及的用户比较少，从监测结果来看，每天感染类似病毒的用户为几百个。”李铁军说。

　　迷惑人心的“AA红包骗局”

　　除了通过其他渠道发送虚假钓鱼链接诱惑用户点击外，一些不法分子还充分利用微信、支付宝的现有规则，然后加以改造，以迷惑用户，这样的典型当属春节伊始流行的AA红包骗局。

　　在微信上，有一个“AA收款”功能，点击该按钮，可以实现聚餐、组织活动等场景下的AA付款，不过这个贴心的设计也被一些不法分子盯上，通过改造伪装成“AA红包”骗局。

　　一般情况下，用户使用微信“AA收款”付款前，微信会弹出确认按钮，并以“AA+付款金额+给+用户名”的格式提醒用户，而在“AA红包”骗局中，则将此段文字改为“您，新年红包点击领取”的字样，这样用户在点击时，就会显示为“AA88.88元给您，新年红包点击领取”类似字样，迷惑性非常大。

　　2月18日，深圳网友小宇就遭遇了这样的骗局。小宇向法治周末记者回忆，当时自己加了一个微信群，群主向群里派了一个红包，小宇手气不错，也抢到了几块钱，随后群主便发了一个AA红包，显示获得了88.88元的红包，如果发到另外一个群会获得两倍的红包。

　　小宇未加犹豫便点了进去，不过一看到要输入密码，他就有些警惕了，加上当时他还未在微信上绑定银行卡，也就放弃了参与这个游戏。

　　但有的用户就没有那么幸运。据《新闻晨报》报道，上海的胡先生当时就输了密码，导致自己卡中的88.88元被骗子划走。

　　安全联盟媒体总监张毅对法治周末记者表示，其实这类骗局都有一个共同的特点，就是需要用户输入支付密码。张毅提醒用户，无论是抢红包还是收红包，作为受益方，都不需要输入密码，“凡是需要输密码的‘红包’，用户就要提高警惕了，这基本是骗局”。

　　红包插件里的秘密

　　抢红包作为一种互动游戏，具有明显的“手快有、手慢无”的特点，一个红包发出来，稍不注意，再点击进去就显示为“手慢了，红包派完了”，让人追悔莫及。

　　而为了提升抢红包的效率，一些商家推出了抢红包的“神器”——抢红包插件，这种软件可以自动“秒抢”微信中的所有红包，即使用户早已沉沉睡去，这种软件依然会恪尽职守，秒抢无误。

　　其实，这种利用外挂、或者抢红包插件进行抢红包的做法不仅因为违反运营商运营规则，可能招来关闭账号等风险，也因为其来源于第三方，就此埋下安全隐患。

　　李铁军对法治周末记者介绍，很多抢红包插件都需要用户输入微信账号和密码，这样才能模拟人工操作，不过一旦被不法分子所利用，在对方获取微信的权限后，也会给自己微信好友带来潜在风险。

　　360手机安全专家也向法治周末记者表示，一些黑客也会利用人们抢红包占便宜的心理，在红包插件中捆绑恶意软件、木马病毒，部分红包点击后会跳转至钓鱼网站。

　　“网民如果不慎点击打开了上述链接，可能导致更加恶劣的后果，诸如个人隐私泄露甚至是财产损失等危害。为了自身的安全，最好不要使用抢红包插件。”该专家说。

　　李铁军也强调，像QQ账号、微信账号、支付宝账号等，现在基本上都属于网络通行证，汇集有很多个人信息，不要轻易将账号和密码泄露给插件等第三方应用程序，也不要轻易使用插件这些辅助功能。

　　恶意营销红包意在获取用户数据

　　今年微信向公众账号开放了红包接口，随着春节的到来，一些商家也试图用“合体抢红包”“红包变大”“红包加油”等营销活动吸引粉丝，增加人气。

　　总结这类红包的游戏规则，其大都设计了这样一个关卡，即必须先关注主办方的微信公众号，并向好友发出邀请，进行“合体”，或者邀请好友帮助“加油”，才有机会抽取相应金额的红包，而且必须在指定的时间内抢到规定的额度，才可以实现体现。

　　网友刘琦在春节前就碰到了这样一个合体红包，一个朋友发来让她帮忙“合体”，根据游戏规则，用户必须关注其微信公众号才能参与抢红包，合体的红包达到100元就可以提现。

　　在帮朋友抢到了10元红包后，她也被这种新玩法所吸引，并分享在微信群里让朋友们帮着抢。然而，在邀请了多个好友参与后，刘琦最终放弃了游戏。“越到后面加的越少，而且有的朋友帮你抢的还是负数，就是要倒扣钱的，很难过百”。

　　“刚开始觉得挺好玩的，后来我琢磨出它其实就是诱惑用户关注，快速增加粉丝。”刘琦对法治周末记者说

　　还有一些抢红包的营销活动要求用户向其提供一些权限，最常见的就是“获得你的公开信息(昵称、头像等)”。“其实这就是来获取用户个人信息的，至于这些信息会如何使用，这些公众号也没有明示，这种红包由于金额相对较大，在微信群和朋友圈里传播面非常广。”小宇对记者说，至于最终有多少用户能真正拿到那些条件设置极为苛刻的红包，目前尚不得而知。

　　其实，对于这种利用利益吸引用户的做法，早在2014年4月微信就发布《微信公众平台运营规范》(以下简称《规范》)予以了禁止。《规范》严格禁止通过利益诱导进行恶意推广、强制要求朋友圈分享等行为。

　　春节前夕，微信公众平台又专门发布了《关于抢红包等违规行为处罚规则公示》，称从2月5日起，一旦发现有微信公众号利用抢红包方式诱导用户分享、关注，或者收集用户隐私数据，将按照情节严重性进行封号及删除粉丝处罚。