您现在的位置：>
泄露手机验证码支付宝被盗空 手段令人震惊(图)
& 07:55:02&来源：水母网&
被骗过程示意图
水母网3月31日讯
(YMG记者熊昌华摄影报道)网购时将支付宝绑定手机的方式很便捷，如果忘记了密码无法登录支付宝，只要通过手机号索要到手机验证码，再通过几个简单步骤
就能找回或重置支付宝密码。然而，作为支付宝最后一道安全关卡的手机验证码，一旦泄漏就可能会给你带来财产损失：骗子可利用“手机验证码”修改你的支付宝密码，接着偷走里面的钱。
近日，白石小区的刘女士很受伤，骗子以五花八门的理由骗取了她支付宝的“手机验证码”，让她白白损失了640元钱。“我以前不知道‘手机验证码’不可以泄漏，要是早知道就不会被骗了！”昨日，刘女士表示，虽然钱不是很多，但是觉得有必要提醒其他市民别上当。
支付宝资金被冻结
3月24日，刘女士在淘宝购物。像往常一样，她下完订单就在家等着收货。然而不到一分钟，“卖家”（骗子在淘宝上注册了网店）通过阿里旺旺呼唤她：“网络异常，您的订单出现问题，请尽快输入手机验证码，我们帮您解决问题。”
怎么回事？输入验证码干什么？刘女士一头雾水。对方称看看手机短信就明白了。刘女士的淘宝号是绑定在丈夫的手机上，丈夫在外上班。果然，丈夫收到一条来自的短信，里面有验证码“390**5”。刘女士把它发给了“卖家”。几秒钟后，出现了神奇的一幕：等待收货的页面突然消失并连续跳转为退款、退款成功、退还1元钱！（此时，骗子已用此验证码盗号，制造了“退货”假象，成功转走320元。）
怎么回事？一头雾水的刘女士在思考自己是否被骗了，忘记了查看支付宝。
正茫然间，“卖家”再次呼唤她，称支付宝里的资金已被冻结，要求她赶紧去激活。激活？怎么回事？刘女士还在纳闷中。正在此时，“淘宝网”（骗子冒充的）发来短信，称检测到她的订单因网络延迟交易异常，订单资金已冻结在支付宝中心，密码默认为tb123456，须在24小时后在（再）进行修改。刘女士很纳闷，询问怎么才能激活，“卖家”解释：所谓的激活就是重新下一次订单。“再下一次订单？我刚刚给你们打了321块钱只退还1块钱，现在又让我下一次订单，是不是在骗我？”
“卖家”对刘女士的疑问很不耐烦，称钱都在支付宝里，在刘女士没有点击确认收货前，任何人都拿不走的，让她尽管放心。
没想到就是这句话让刘女士轻信了对方，又一次上了当。“按照淘宝购物流程，我下订单后把钱打进支付宝，卖家才开始发货。然后我收到货并且满意该货物，去网页上点击‘确认收货’后，支付宝才会把钱转给卖家。”如此，刘女士觉得很安全，便再下了一次订单。
密码遭偷改支付宝被盗空
刚下完订单，又出现神奇一幕：页面上直接出现了退款成功，退还1元钱！（后来刘女士找到该退货单，上面居然是“卖家替买家退货”）“怎么回事？你们究竟是不是骗子？”刘女士质问到。面对质问，“卖家”显得很平静，信誓旦旦地说：“我们如果是骗子，不可能只骗你几百块钱。你要明白你的钱仍然在支付宝里，谁也拿不走！”
争论中，“卖家”突然又说已帮刘女士激活了支付宝里的资金，但是需要她重拍默认。对方解释称，重拍就是在下一次订单！恰在此时，“淘宝网”又发来短信：“卖家已提交了订单激活处理，已激活成功，请尽快联系卖家重拍默认退款处理。”“卖家”还打电话催促，如果刘女士不及时默认重拍一次订单，他们将在淘宝投诉她。
尽管对方使尽伎俩，刘女士这次汲取了教训，没有再下订单。她致电询问淘宝客服。客服要求提供证据———双方交易记录和聊天记录。可惜刘女士在收集证据过程中，电脑突然死机了，等她开机重新登录支付宝时，发现密码已被更换！最后她只好重设置密码，进入支付宝系统后发现，打入的640元钱只剩下2元。
30秒！记者成功“秒盗”密码
近日，刘女士反复思考整个受骗过程：网络异常———索要验证码———支付宝密码被更换———资金被盗走。她明白了自己被骗的关键在于透露了“手机验证码”。
刘女士的结论得到资深网购达人“豆豆”的认可。豆豆透露，对于绑定手机的支付宝用户，用手机号改变其支付宝密码很简单。用他所说的方法，征得刘女士同意，记者成功改变了其另外一个支付宝的登录密码。
记者在支付宝登录窗口输入刘女士手机号，输入页面本来就有的验证码，在下一个页面中，选择用手机号找回密码。果不其然，3秒钟后，刘女士收到了“643**9”的验证码，记者将其输入并设置新密码，设置完成后弹出“设置成功请牢记新密码”字样，完成登录密码修改。
豆豆透露，修改支付宝支付密码与此类似，对于信息录入完整的用户，破解支付宝登录和支付密码则更简单，记者在此不再透露。
记者的试验充分说明，任何人都可以利用绑定支付宝用户的手机号，在获取“手机验证码”的情况下，把该用户的支付宝“据为己有”。
在整个过程中，输入“手机验证码”是最关键的步骤。
“豆豆”说，用手机号修改支付宝密码有两个前提：一是要绑定，二是要有手机验证码。刘女士上当，就是因为泄漏了手机验证码。另外，刘女士受骗前支付宝登录和支付密码是一样的，增加了被盗的风险。
防范：平时最好少屯钱
刘女士告诉记者，受骗前她的淘宝账号密码、支付宝密码是一样的，被骗后，才将它们改为不一样的数字字母组合。豆豆解释，“卖家”以网购出现各种问题为借口，迷惑刘女士通过“再下一次订单”来解决，无非就是让她把钱转入支付宝，使骗局更具迷惑性。
经过反复的思考，刘女士认为支付宝和淘宝系统有漏洞。凭借一个小小的“手机验证码”就能将支付宝里的钱转走，要是有人将和支付宝绑定的手机卡丢失了，那怎么办？
淘宝客服曾告诉刘女士，欺骗她的卖家有过多次不良记录。但刘女士发现，直到现在此卖家还在淘宝网上经营。“淘宝究竟是怎么监管的？”刘女士很气愤，她认为如果淘宝报警抓住这些骗子并非难事，但为何没人管？
业内人士透露，网购需谨慎，上当理赔难。资深网民建议，对于手机绑定的支付宝用户，手机号千万不能丢失。另外，一旦收到有关“验证码”的短信就应该提高警惕，要尽快冻结支付宝资金，平时尽量少往支付宝“屯钱”。
&|&责任编辑：韩梅梅
■ “烟台资讯365”让您随时随地用手机轻松掌握烟台最新鲜的事儿
■ 订阅方式：发送ytzx到&&
■ 取消方式：发送qxytzx到
■ 资费：0元／月 &&
■ 仅限山东移动用户
·····
·····
········
48小时排行榜
&&增值许可证：鲁B2-号&&广告经营许可证：鲁工商广字08-1685号
中国互联网举报中心电话：12377&&&举报邮箱： &&
烟台日报传媒集团/烟台星云信息传讯有限公司 本站官方网址 鲁ICP备020006号支付宝被曝泄露客户交易信息 官方回应都是买家错
　　3月27日晚间，有微博网友反映部分支付宝生活助手转账付款结果页面被谷歌抓取，支付宝方面调查表示，支付宝对相关页面链接加具了安全保护，正常情况下任何搜素引擎都无法抓取。这次有付款结果页面被收录可能是因为有极少量用户主动将自己付款结果页面分享到公共区域，所谓漏洞真是虚惊一场。
　　支付宝被指泄露客户信息
　　27日晚间，有网友在微博上爆出，使用谷歌搜索输入“site：转账付款”即可看到各种转账信息，包括付款账户、收款账户、姓名、日期等。支付宝官方微博也在昨天凌晨对此事进行了回应，称初步调查后发现，不排除极少量用户将自己付款结果页面分享到公共区域，造成某些搜索引擎可抓取，并提供了一个论坛的案例。
　　漏洞多因买家分享链接
　　微博认证为支付宝公关总监的陈亮昨日中午在其微博上发布了题为“技不如人被骂是活该，但我想把事情讲清楚”的长微博，就支付宝信息漏洞的问题予以官方回应。
　　支付宝方面表示，相关链接都进行了安全保护，正常情况下任何搜素引擎都无法抓取。谷歌抓取的链接一共是2000多条，在整个支付宝全年几十亿笔的交易中只是极少部分，如果是漏洞就不可能只有2000多条。调查发现，大量被搜索引擎收录的页面在备注里都包含购买集邮品等信息，在相关论坛内也发现有很多用户会分享支付宝或网银的付款结果页面或者链接，以向卖方证实自己已经付款。因此初步判断，这些分享可能是相关页面被搜索引擎抓取的原因。
　　官方已升级安保策略
　　支付宝方面表示，为了避免用户的个别分享导致自己的信息被搜索引擎抓取，支付宝决定提升生活助手付款结果页面的保护等级，新的安全机制要求交易双方需要登录后才可以查看付款结果页面，任何其他人都无法查看。这一修改已经于28日凌晨4点发布上线。所以，现在即使有用户继续分享付款结果页面的链接，他人点击后也无法看到任何跟该用户支付宝账号相关的信息。
　　支付宝公关总监陈亮也在微博上表示，安全和方便的平衡一直都是互联网上的一道难题，支付宝会继续努力做好这个平衡，“做不好被骂那是活该”。
　　官方回应经不住推敲
　　支付宝仅提到该页面没有用户账户名和密码，但认为用户的账户邮箱和手机号，以及一次完整的交易记录详情不是重要信息，这是经不住推敲的。一个黑客掌握了这些信息，已经足以运用到社会工程的攻击手段里去了。
　　另外，支付宝迅速修改了页面，将邮箱、手机号及付款时间等信息隐去，这和其“重要信息”的概念范畴说法也是矛盾的。
　　此外，正如该声明所说：信息的泄露，确实不排除有用户将自己的付款结果页面分享到其他公共区域，才造成了爬虫的扒取。
　　但这里其实涉及到一个新的问题：一个是产品设计上，是否应该允许用户将付款信息页面的URL分享至其他互联网系统中去？是否应该允许非授权的访问？是否应该在页面提醒用户泄露这些信息的风险？是否应该设置会话或页面的失效时间？
　　支付宝信息泄露早就有
　　其实支付宝用户交易信息泄露的问题，并不是近日才有的，早在日，就有人将该漏洞提交到了乌云（漏洞报告平台）上，我们看到该漏洞被标注的类型为“敏感信息泄露”，危害等级为“中”，乌云当天将细节通知了厂商，但6月1日更新的状态为“厂商已经主动忽略漏洞，细节向公众公开”。
　　网友有话说
　　@劉士元：我只能说支付宝的公关做得很到位，全靠这个总监了，很有力度。
　　@冯春培-杭州：安全和方便就是游走钢丝绳，问题总会有的，迅速改进呗。当然会有很多趁机起哄的 。
　　@陈中平：亡羊补牢，还需要道歉 ！
事件追踪：
】【】【】支付宝帐号和姓名被泄露了会被盗吗？ - 相关问题 - 110网法律咨询
支付宝帐号和姓名被泄露了会被盗吗？
你好，我不小心把自己的手机号码，姓名，支付宝帐号，身份证正反面的照片泄露了，怎么办呢
没泄露密码
你好，身份证被泄露了那支付宝会被盗吗？
进入非法网站，个人身份证号，银行帐号，真 实姓名，所在单位地址邮编等信息泄露，该怎 么办？如果去公安局报案，该怎样报案呢？谢 谢啦
网银帐号，姓名，身份证号码同时泄露存在何风险？(密码无泄露)
你好，我的支付银行帐号和密码，手机号码和验证码被盗了，找银行关闭了支付宝和网银，银行卡的密码也改了，想问我的银行卡还能用吗？
您好，我刚刚不小心泄露了姓名和银行帐号，请问，这会不会有风险。
在网上泄露了支付宝密码，身份证号还有姓名对我的日常生活，工作还有银行卡的使用有影响吗？
身份证号码和姓名泄露，用身份证办的银行卡里的钱会被盗取吗支付宝存漏洞？这10招保护个人信息赶紧保存起来！
　　这两天，“支付宝实名认证存漏洞”的消息在上疯传，同时也引来了很多新闻媒体的关注，事件的起因是一位网友在不知情的情况下，支付宝账户莫名多出5个陌生子账户，支付宝方面表示是其泄露信息所致。这些究竟是怎么回事呢？个人信息泄露有多可怕？在大数据时代，我们该如何保护好自己的隐私？
　　支付宝用户无故多出5个未知账户
　　事情发生在上周四，一位微博名叫做F9y4ng的用户偶然发现，自己支付宝的实名认证信息下多出了5个未知账户，而这些账号都没有经过他本人的认证。换句话说，他是在完全不知情的情况下，其支付宝账户下就多了5个绑定账户，而他本人也没有收到任何形式的通知消息，包括短信、邮件、或者登录后的站内信息。
　　无独有偶，在网友F9y4ng的微博原文的评论中，有很多网友表示自己也遇到类似的问题。
　　那么绑定了未知账户会有哪些危害呢？
　　网友F9y4ng表示，首先，这次事件的实名认证信息绑定子账户对本人的账户内的资金是否有直接影响，从目前支付宝官方、本人检查和网友的反馈情况来看没有直接证据证明会造成资金损失。所以网友不必太过惊慌，你的支付宝账户的资金还是安全的。
　　他人没有你的登陆和支付密码是不能操作你的账户资金的。
　　而该网友担心的是被绑定的这些子账户是否可以用来贷款，而要本人来还。
　　对此，支付宝的回应称，答案是否定的，这些子账户无法借用户身份发起蚂蚁花呗等贷款服务。因为针对蚂蚁花呗等业务的开通，不仅会比对更全面的用户信息、对用户的历史消费数据进行参照外，还有额外的风控手段进行把控。这一点请大家放心。”　　支付宝方面也于昨日下午6点通过官方微博对事件进行了回应，以下为支付宝官方微博的回应原文：
　　那么这些“幽灵”账户是怎么绑定上去的呢？
　　小融在该网友后续的回答中找到了答案：
　　1、 事件中的实名认证绑定流程，并非从已实名认证通过的本人账户进行子账户绑定。
　　2、文中提到的流程是，新支付宝注册用户，在进行新的实名认证申请时，只要填写了你本人的身份证号码，姓名，并上传了伪造的证件照（正反面）。如果这个提交的身份信息和你的已认证通过身份信息一致，那么这个新账户就会自动的默认绑定到你的支付宝实名认证信息下。
　　3、当发现被绑定其他子账户后，作为最早实名认证的账户不能对子账户进行绑定取消，也不能关闭绑定功能。
　　那么问题来了，不能自行解绑那该怎么办？
　　了解这件事情后，小融也赶紧登陆了自己的支付宝查看是否也有类似情况，结果还好，没有莫名其妙的账户。
　　这里小融教大家怎么查询：
　　登录支付宝官网（），进入“我的支付宝”后，点击“账户管理”，在菜单中选择“账户设置”，在“基本信息”中找到“实名账户”一项，选择“查看”即可显示你的名下共有多少个账户。目前手机版支付宝查看不了，只能登录网页版查看。
　　如果“不幸”发现自己“被绑定”了未知账户，支付宝给出的方法是：致电支付宝客服热线95188，支付宝客服人员会在核实具体情况后帮用户解除关联账户。
　　另外，也有一些网友反映原来有的非自己关联的账户，现在看不见了，那是因为支付宝系统坚监测到账户存在异常并解除了关联账户。
　　个人信息泄露很可怕绝不是耸人听闻
　　在该事件中，用户个人的信息泄露才是导致关联账户出现的主要原因。
　　都说大数据时代没有隐私，小融对这句话再同意不过，网友F9y4ng也表示，信息泄露已经是“见怪不怪了。”只要你买房了，买车了，生病上医院了，结婚生孩子了，消费了，办了个会员了，到某网站注册了个实名用户了都会造成你的信息泄露，而且这些泄露的渠道几乎人尽皆知。
　　想想一些陌生人对你的姓名、电话、年龄、甚至是身份证号码等个人信息了然于胸，有没有浑身不寒而栗？一旦个人信息泄露，垃圾短信，骚扰电话的困扰这些都是“轻的”，更可怕的是遭到诈骗、银行账户的钱被盗、冒名办透支等造成的财产损失。
　　今年7月，网协会对外公布了《中国网民权益保护调查报告(2015)》，报告显示，近一年来，因个人信息泄露、垃圾信息、诈骗信息等原因，导致网民总体损失约805亿元。
　　那么大数据时代咱们该怎么保护好自己的个人信息呢？
　　高大上的方法小融也不懂，小融就从自身生活中总结的一些经验一下分享给大家：
　　1、处理好自己快递包装上的个人信息。快递是个人信息泄露的“大户”，我们知道，快递包装上会有自己的姓名、手机号，地址这些个人信息，所以广大剁手党们在扔掉包装前不要怕麻烦，把这些信息统统毁掉。小融每次都会用黑色的碳素笔把这些敏感信息涂黑，也是一个保持不多的好习惯之一呢。
　　2、手机里别存自己的身份证照片。一旦手机丢失，而手机中恰好有自己的身份证照片，那么别人很容易就改掉你的支付宝支付密码，啥后果大家也该知道了吧。
　　反正小融是不会把自己的身份证照片放手机里，不但是怕手机丢了支付宝被盗，还有一个原因是，丑。
　　3、平时不要点击一些来历不明的链接。小融经常能看到这样类似的新闻，某某收到一条短信，或是淘宝客服要求退款，或是领取信用卡积分，或是什么孩子成绩单等等，然后甩给你一条链接，要求你填写个人信息，或者是下载一个安装包，然而这些链接绝大多数都携带木马病毒，手机一旦“中毒”病毒就会窃取你的个人信息，银行卡里的钱被转走那都是分分钟的事儿。
　　4、别随意填写问卷或者参与扫码活动。大家平时肯定在一些街头、店铺门口等地方，遇到有人让你帮忙填写调查问卷，或者是扫二维码注册，然后送你一些小奖品，这种行为也会造成个人信息泄露。
　　小融曾经脑袋一时短路，为了一只兔子玩偶帮忙填写了一家婚纱影楼的问卷，结果就是：莫名其妙的被请进了店内，又莫名其妙的听了店员将近20分钟的介绍，最后在看到拍摄一组写真照的价格后，当时就清醒了过来…
　　5、手机号不用了一定要注销各种绑定的账号。手机号不用了别以为停机就行了，停用的手机号会被销号回收，二次放号给其他人使用。如果你以前用它绑定了微博、微信、支付宝、银行卡等又没取消，就很危险了。所以手机号不用了一定要注销绑定的各种账号，另外，最好在更换号码前重新绑定新手机号。
　　6、提高手机的安全性。作为一个“没有手机会死星人”，平时也要提高手机的安全性，因为这是防止信息泄露重要因素。比如不越狱的iPhone安全性更高；使用iPhone最好将“指纹解锁”功能和“查找我的iPhone”功能打开，同时保证AppleID密码的安全性，使用一个独特唯一的安全密码。
　　7、社交网络上的一些趣味测试也别随意点，好奇心害死猫。最近微信朋友圈里出现了不少趣味测试，比如测测你的前世是什么，测测你的好运有多少等等，只要填写自己的姓名、性别、生日等信息就能得到测试结果。但是这也是一种泄露个人信息的行为，如果不想被推销电话和垃圾短信轰炸，或者更严重的利用生日猜中你的支付密码，这种测试最好别做，类似的还有红包链接，别为了贪小便宜，最后吃大亏。
　　8、车票、飞机票要妥善保存好。那回程的票根，你留作纪念，不必害怕面对离别~可以，但是前提是务必保存好，因为这些票根上面也有你的个人信息，一旦丢失，被坏人捡到就不好了。
　　9、验证码是个神奇的东西，打死也不能告诉别人。验证码有的时候可能是你卡里的钱被盗之前的“最后一根救命稻草”，支付宝账号更改密码是要输入验证码才能完成的，前段时间比较火的骗术之“帮你买银行贵金属”也是如此，所以大家要像保护银行卡密码一样的保护验证码，打死也不要告诉陌生人。
　　10、一旦手机丢失和身份证一起，第一时间挂失sim卡，并赶紧冻结账户。记住一个公式：手机丢+身份证丢=钱丢！因为有了这两大“神器”，你的支付宝、微信支付、手机银行等账户很容易被不法分子更换密码，前面说了验证码是改密码中很重要的一步，所以要第一时间致电客服挂失sim卡，并且要赶紧将银行卡、支付宝账号、微信账号之类的账户冻结。
　　最后，个人信息泄露的泄露和保护方式不只小融说的以上10种，现实生活中盗取个人信息的犯罪分子简直无孔不入，所以大家平时在生活中要意识到个人信息的重要性同时也一定要提高警惕。
（责任编辑：HZ002）
10/13 08:18
理财精品推荐
特色栏目：
精品栏目：
每日要闻推荐
社区精华推荐
精彩焦点图鉴
　　【免责声明】本文仅代表作者本人观点，与和讯网无关。和讯网站对文中陈述、观点判断保持中立，不对所包含内容的准确性、可靠性或完整性提供任何明示或暗示的保证。请读者仅作参考，并请自行承担全部责任。