手机丢了之后登录该机支付宝，点击忘记密码，支付宝会给绑定的手机号发验证码，那这样岂不是很容易被人转账？ - 知乎1被浏览486分享邀请回答0添加评论分享收藏感谢收起第A06版：关注
泄漏“手机验证码”支付宝被盗空
骗子能利用该码修改支付宝密码，记者试验发现全过程只须30秒
&&&&网购时将支付宝绑定手机的方式很便捷，如果忘记了密码无法登录支付宝，只要通过手机号索要到手机验证码，再通过几个简单步骤就能找回或重置支付宝密码。然而，作为支付宝最后一道安全关卡的手机验证码，一旦泄漏就可能会给你带来财产损失：骗子可利用“手机验证码”修改你的支付宝密码，接着偷走里面的钱。　　近日，白石小区的刘女士很受伤，骗子以五花八门的理由骗取了她支付宝的“手机验证码”，让她白白损失了640元钱。“我以前不知道‘手机验证码’不可以泄漏，要是早知道就不会被骗了！”昨日，刘女士表示，虽然钱不是很多，但是觉得有必要提醒其他市民别上当。　　YMG记者熊昌华网络现异常，请输入“验证码”　　3月24日，刘女士在淘宝购物。像往常一样，她下完订单就在家等着收货。然而不到一分钟，“卖家”（骗子在淘宝上注册了网店）通过阿里旺旺呼唤她：“网络异常，您的订单出现问题，请尽快输入手机验证码，我们帮您解决问题。”　　怎么回事？输入验证码干什么？刘女士一头雾水。对方称看看手机短信就明白了。刘女士的淘宝号是绑定在丈夫的手机上，丈夫在外上班。果然，丈夫收到一条来自的短信，里面有验证码“390**5”。刘女士把它发给了“卖家”。几秒钟后，出现了神奇的一幕：等待收货的页面突然消失并连续跳转为退款、退款成功、退还1元钱！（此时，骗子已用此验证码盗号，制造了“退货”假象，成功转走320元。）怎么回事？一头雾水的刘女士在思考自己是否被骗了，忘记了查看支付宝。支付宝资金被冻结，需要激活　　正茫然间，“卖家”再次呼唤她，称支付宝里的资金已被冻结，要求她赶紧去激活。激活？怎么回事？刘女士还在纳闷中。正在此时，“淘宝网”（骗子冒充的）发来短信，称检测到她的订单因网络延迟交易异常，订单资金已冻结在支付宝中心，密码默认为tb123456，须在24小时后在（再）进行修改。刘女士很纳闷，询问怎么才能激活，“卖家”解释：所谓的激活就是重新下一次订单。“再下一次订单？我刚刚给你们打了321块钱只退还1块钱，现在又让我下一次订单，是不是在骗我？”　　“卖家”对刘女士的疑问很不耐烦，称钱都在支付宝里，在刘女士没有点击确认收货前，任何人都拿不走的，让她尽管放心。　　没想到就是这句话让刘女士轻信了对方，又一次上了当。“按照淘宝购物流程，我下订单后把钱打进支付宝，卖家才开始发货。然后我收到货并且满意该货物，去网页上点击‘确认收货’后，支付宝才会把钱转给卖家。”如此，刘女士觉得很安全，便再下了一次订单。密码遭偷改，支付宝被盗空　　刚下完订单，又出现神奇一幕：页面上直接出现了退款成功，退还1元钱！（后来刘女士找到该退货单，上面居然是“卖家替买家退货”）“怎么回事？你们究竟是不是骗子？”刘女士质问到。面对质问，“卖家”显得很平静，信誓旦旦地说：“我们如果是骗子，不可能只骗你几百块钱。你要明白你的钱仍然在支付宝里，谁也拿不走！”　　争论中，“卖家”突然又说已帮刘女士激活了支付宝里的资金，但是需要她重拍默认。对方解释称，重拍就是在下一次订单！恰在此时，“淘宝网”又发来短信：“卖家已提交了订单激活处理，已激活成功，请尽快联系卖家重拍默认退款处理。”“卖家”还打电话催促，如果刘女士不及时默认重拍一次订单，他们将在淘宝投诉她。　　尽管对方使尽伎俩，刘女士这次汲取了教训，没有再下订单。她致电询问淘宝客服。客服要求提供证据―――双方交易记录和聊天记录。可惜刘女士在收集证据过程中，电脑突然死机了，等她开机重新登录支付宝时，发现密码已被更换！最后她只好重设置密码，进入支付宝系统后发现，打入的640元钱只剩下2元。30秒！记者成功“秒盗”密码　　近日，刘女士反复思考整个受骗过程：网络异常―――索要验证码―――支付宝密码被更换―――资金被盗走。她明白了自己被骗的关键在于透露了“手机验证码”。　　刘女士的结论得到资深网购达人“豆豆”的认可。豆豆透露，对于绑定手机的支付宝用户，用手机号改变其支付宝密码很简单。用他所说的方法，征得刘女士同意，记者成功改变了其另外一个支付宝的登录密码。　　记者在支付宝登录窗口输入刘女士手机号，输入页面本来就有的验证码，在下一个页面中，选择用手机号找回密码。果不其然，3秒钟后，刘女士收到了“643**9”的验证码，记者将其输入并设置新密码，设置完成后弹出“设置成功请牢记新密码”字样，完成登录密码修改。　　豆豆透露，修改支付宝支付密码与此类似，对于信息录入完整的用户，破解支付宝登录和支付密码则更简单，记者在此不再透露。　　记者的试验充分说明，任何人都可以利用绑定支付宝用户的手机号，在获取“手机验证码”的情况下，把该用户的支付宝“据为己有”。　　在整个过程中，输入“手机验证码”是最关键的步骤。　　“豆豆”说，用手机号修改支付宝密码有两个前提：一是要绑定，二是要有手机验证码。刘女士上当，就是因为泄漏了手机验证码。另外，刘女士受骗前支付宝登录和支付密码是一样的，增加了被盗的风险。有异常资金速冻，平时最好少屯钱　　刘女士告诉记者，受骗前她的淘宝账号密码、支付宝密码是一样的，被骗后，才将它们改为不一样的数字字母组合。豆豆解释，“卖家”以网购出现各种问题为借口，迷惑刘女士通过“再下一次订单”来解决，无非就是让她把钱转入支付宝，使骗局更具迷惑性。　　经过反复的思考，刘女士认为支付宝和淘宝系统有漏洞。凭借一个小小的“手机验证码”就能将支付宝里的钱转走，要是有人将和支付宝绑定的手机卡丢失了，那怎么办？　　淘宝客服曾告诉刘女士，欺骗她的卖家有过多次不良记录。但刘女士发现，直到现在此卖家还在淘宝网上经营。“淘宝究竟是怎么监管的？”刘女士很气愤，她认为如果淘宝报警抓住这些骗子并非难事，但为何没人管？　　业内人士透露，网购需谨慎，上当理赔难。资深网民建议，对于手机绑定的支付宝用户，手机号千万不能丢失。另外，一旦收到有关“验证码”的短信就应该提高警惕，要尽快冻结支付宝资金，平时尽量少往支付宝“屯钱”。支付宝辟谣手机丢后账户易被盗 称还需更高校验-中新网
支付宝辟谣手机丢后账户易被盗 称还需更高校验
　　“如果你的手机丢了，任何人仅凭借手机接收到的校验码就能找回你的支付宝密码，解除你的数字证书，盗空你的支付宝账户”，这两天，微博和微信朋友圈里一则这样的“惊悚实验”被广泛散播。昨天，阿里小微金融服务集团首席风险官胡晓明通过支付宝官方微博正式回应称，这种说法纯属谣言。
　　这则网帖声称，一些用户根据帖子的指引模拟自己手机丢失后找回密码的操作，发现果然通过一个手机校验码就成功了。对此，胡晓明指出，那是因为这些用户是在自己的电脑上模拟自己“真实被盗”的过程，就好比是用自己家的钥匙开自己家的门。支付宝方面昨天向记者解释道，用户使用自己电脑登录支付宝时，电脑中装有数字证书已经记录着客户的身份信息，系统默认为是可信网络环境，所以不需要输入身份证号码等其他验证就可以取回登录密码。
　　胡晓明说，如果真有别人捡到你的手机，想在别的电脑上找回你的支付宝密码，他一定需要“手机校验码+身份证信息”等更高安全级别的校验，绝对不可能仅通过一个手机校验码就找回你的密码。
　　此外，支付宝方面表示，即使取回登录密码，支付和转账过程中还需要用户之前设置的支付密码，而重置支付密码也需要短信验证码和密码保护答案等更高安全级别的校验。
　　胡晓明介绍，目前支付宝的风险防控体系会对用户的每一笔支付、每一次找回密码等关键操作进行智能识别，对不同风险级别的操作会要求不同的安全校验。此外，支付宝的资金安全由平安保险全额承保，用户发生被盗，平安保险全额赔付，赔付金额无上限，保费全部由支付宝承担。记者高晨马文婷
【编辑:姜莹】
>IT新闻精选：
直隶巴人的原贴：我国实施高温补贴政策已有年头了，但是多地标准已数年未涨，高温津贴落实遭遇尴尬。
66833 34708 30649 18963 18348 16939 12753 12482 12188 12157
　| 　|　　|　　|　　|　　|　　|　
本网站所刊载信息，不代表中新社和中新网观点。 刊用本网站稿件，务经书面授权。
未经授权禁止转载、摘编、复制及建立镜像，违者将依法追究法律责任。
[] [] [京公网安备:-1] [] 总机：86-10-
Copyright &
. All Rights Reserved　　最近，一条消息“手机丢失？你的支付宝就完了！”在微博上流传开来。该微博称，如果用户手机与支付宝绑定，丢失后他人通过手机校验码，就能登录用户的支付宝账户，这样用户资金就存在被盗风险。　　就此，记者昨日进行了实验，发现只有手机校验码，而没有用户的身份证号，是盗用不了支付宝的。　　A事出有因　　“丢手机实验”热传　　不少用户慌张　　这条微博称，如果支付宝关联了银行卡，手机丢了后，捡到手机的人只需通过手机校验码，就能获取登录密码、解除移动数字证书认证并获得支付密码。此消息一出，不少用户慌张了，“要是我手机丢了，那我支付宝里的钱不是危险了！”长春市民韩女士很是担忧。　　对此，支付宝公关部向本报发来声明称，对于此消息，支付宝已经在官方微博上发出了辟谣，小微金融服务集团首席风险官胡晓明也通过长微博进行了回应。　　胡晓明称，所谓的“惊悚实验”，有用户模拟自己手机丢失后找回密码的操作，通过一个手机校验码就成功了，这是因为用户就是在自己的电脑上模拟自己“真实被盗”的过程。但如果手机真的丢失，他人是不可能通过用户的电脑盗用支付宝的。　　“如果真有别人捡到你的手机，想在别的电脑上找回你的支付宝密码，他一定需要"手机校验码+身份证信息"等更高安全级别的校验，绝对不可能仅通过一个手机校验码就找回你的密码。”胡晓明说。　　B密码实验　　情景1　　非本人电脑登录支付宝　　能否成功　　记者按照帖子中所描述的步骤，在一台非记者本人的电脑上登录支付宝。　　在点击了忘记密码后，跳转到一个页面要求输入账户号码和电脑上显示的验证码。输入之后，电脑页面提供了5种方式找回登录密码。第一种是通过“手机校验码+证件号码”找回，手机验证码盗用者可以在支付宝给用户绑定手机发送的短信中获得，但用户的身份证号就无法获取了，所以这种方式盗用失败。　　第二种是通过身份核对问题找回，这就需要盗用者回答用户在支付宝设置的和账户信息相关的问题，这种信息除非本人，否则无法得知。　　第三种通过宝令动态口令，这个需要登录手机支付宝钱包，而没有支付宝密码，支付宝钱包也是进不去的。　　第四种是通过“安全保护问题+电子邮箱”，这就需要盗用者回答用户设置的相关问题，如“我的小学校名是什么？”盗用者很难蒙对正确答案。　　第五种通过人工服务，也需要填写申请单，上传身份证件图片，所以没有用户身份证信息也无法登录。　　情景2　　手机客户端尝试破解密码　　能否奏效　　除了用电脑登录，手机客户端能否破解支付宝密码吗？　　随后，记者打开了手机支付宝钱包，首先就要输入“手势密码”。模拟盗用，点击“忘记手势密码”，需要重新登录。这时需要输入账户密码。由于不知道，再次点击“忘记密码”，需要填写账户和验证码，然后还要提供身份证号，如没有也无法进行下去。所以说单纯依靠手机的校验码来试图破解支付宝密码也是失败的。　　情景3　　盗用者打95188更改密码　　能否实现　　那么，如果盗用者拿捡到的手机拨打95188，试图更改用户的支付密码能实现吗？记者拨打电话后，语音提示记者需要输入与此手机绑定账户的注册身份证号码才能继续，这也就是说，如果没有手机使用者的身份证信息，盗用者通过电话的方式更改密码也是不可能实现的。　　实验结论：如微博中提到的，只用手机校验码就能登录支付宝账户的情况，是用户在自己的电脑上尝试才能成功的。“因为用户在电脑上登录时，固定的电脑是要安装了数字证书的，所以系统后台可以识别，只输入手机校验码就可以了。而在他人电脑上，没有安装数字证书，是需要身份证号和手机校验码才能通过，否则不可能进入账户。”支付宝工作人员介绍。　　C本报提醒　　手机丢失后　　先要冻结账号　　那么，如果用户的手机真的丢失了，要怎样处理更稳妥呢？　　对此，支付宝工作人员告诉记者，如果手机丢失，一定要第一时间打电话给支付宝客服，冻结账号，然后冻结支付宝绑定的各银行卡的账号，还需对自己的手机号码进行挂失。另外，可以在手机丢失后，在电脑端登录支付宝账户，进入“账户设置”—“服务设置”—“无线设备管理”中，对手机移动端的授权点击“关闭”，这样就将移动设备的权限掐死。　　D真相纵深　　99%的账户被盗　　源于钓鱼网站　　胡晓明称，无论是电脑端支付还是移动支付，最大的问题是木马病毒钓鱼网站，尤其是手机上，99%的被盗跟此相关，其余是用户被骗，而不是因为丢失手机。　　同时，胡晓明介绍，支付宝的安全基于一整套的风险防控体系，其中7（天）×24（小时）的智能风险识别系统会对用户的每一笔支付、每一次找回密码等关键操作进行智能识别，对不同风险级别的操作会要求不同的安全校验。“当然，世界上没有绝对的安全。所以日，我们在业内首创以保险的形式为用户提供资金保障。支付宝的资金安全由平安保险全额承保，用户发生被盗，平安保险会全额赔付，赔付金额无上限，保费全部由支付宝承担。”胡晓明说。记者 李冰}