N本报记者 邱也栩
关注理由 “若将支付宝账号与手机绑定,手机丢了,任何人只要凭借手机接收到的验证码,就能找回你的支付宝密码,解除你的数字证书,将账户里的钱都转走!”近日,类似的说法在微博、微信朋友圈上广为流传。支付宝钱包真能如此轻易破解?让不少用户惊出一身冷汗。
“单凭手机,就能盗取支付宝的余额”,是确有其事,还是危言耸听?昨日,记者按照网传的破解步骤进行试验,发现如果没有对应的身份证件信息,单凭手机,要盗取支付宝里的余额,可能性很小。
网传:手机盗支付宝,只要分三步
之前,国内曾有市民的手机、身份证、银行卡一起被盗,手机里安装了“支付宝钱包”,而这个手机号又是“支付宝钱包”的登录账号,从而被不法分子重置密码,遭受钱财损失。
单凭一部手机,就能盗走支付宝里的余额?这让不少用户惊出一身冷汗。
网传的“盗钱攻略”,工具只有一部手机,手机号绑定了支付宝账户,此外没有其他任何辅助信息。要将别人支付宝里的钱划到自己名下,总共分三步:
第一步,在账户名栏输入手机号,点击“忘记登录密码”,
系统提示正在为账户重置登录密码,可选择“证件号码+电子邮箱”或通过“手机校验码”,选择后者,重置登录密码;
第二步,进入个人用户界面,发现用户安全等级高,还使用了U盾的数字证书,无法直接将余额宝内的钱转出。在这里,作者选择直接发短信解除了数字证书;
第三步,要把余额宝里面的钱转出,还需要“支付密码”,再次选择找回密码,短信验证解决。至此登录密码、数字证书、支付密码三大关卡都被攻破,支付宝内的钱可以转到任意银行卡中。
试验:无证件号,第一步都过不了
“简单的几个验证码,就突破了所有防线,支付宝钱包也太脆弱了吧?”不少网友惊呼。事实是否真是如此?昨日,记者动手操作,亲自试验了一番。
首先,进入登录页面,选择“忘记登记密码”。不过,在输入账号及验证码后,除了手机号码和手机验证码之外,系统设置中取回密码还需要验证身份证号,并非只凭一个手机验证码就可以“通关”。
不过,参照很多用户的个人习惯,平时支付宝钱包并不会退出,省得一次次输入登录密码,等于已经跳过了前述破解攻略的第一步,这种情况下,小偷能否通过“手机+身份证”修改支付密码呢?
记者发现,无论是电脑端,还是移动端支付宝钱包,找回支付密码的难度更大。它需要密保问题或者银行卡卡号,后者还需要身份证信息。密保问题通常只有设置者自己清楚,支付宝里绑定的银行卡号也以*号模糊处理,小偷无法获取。
也就是说,仅仅通过短信验证码就轻松转走支付宝钱包里的钱的可能性非常小。即便身份证和手机一起丢了,小偷由于不知道密保问题或者银行卡号,最多只能在个人账户内“到此一游”,望“余额”兴叹。
提醒:最好仅用邮箱登录
不过,福州资深IT人士张先生提醒,由于目前存在个人信息泄露、买卖的现象,别有用心的不法分子是有可能通过一些手段查到某个人的身份证和银行卡号,更有甚者,利用一些关联信息破解简单的密保问题(比如,妈妈的名字,等等)。
因而,他建议,对于那些设置了邮箱和手机双账号登录的支付宝用户,最好取消手机绑定,只保留邮箱登录。同时,使用所有支付宝提供的安全保障手段,比如装载数字证书或者手机宝令,开通实名认证,取消快捷支付功能。
昨日,支付宝相关人士也表示,支付宝有先进的安全技术和完善的诚信、安全体系,网传的这份破解攻略不实。如果用户手机丢了,应该第一时间通知运营商锁定手机卡,让小偷无法获取验证码,然后及时拨打支付宝客服电话95188作相关处理。该人士称,支付宝资金安全由平安保险全额承保,发生风险100%赔付,赔付金额无上限。