日前，西安一名市民沒有消費，銀行卡上的9991元卻被人轉(zhuǎn)走買了游戲q幣。

而在微信朋友圈也流傳著，只要裝支付寶的手機(jī)被人撿到，就可能被輕松攻克支付寶登錄密碼、干掉數(shù)字證書、破解登錄密碼。

這是真的嗎？記者借用朋友裝有支付寶的手機(jī)進(jìn)行體驗，結(jié)果發(fā)現(xiàn)，盡管支付寶安全措施有所升級，但只要知道幾個關(guān)鍵信息，還是能很容易通過手機(jī)或電腦破解登錄密碼、支付密碼、繞過數(shù)據(jù)證書，還可以把綁定的手機(jī)號碼改掉。

新聞事件

沒有消費

銀行卡9991元被轉(zhuǎn)走

聽到手機(jī)短信提示，傅女士銀行卡里先后兩次被莫名轉(zhuǎn)走了9991元。傅女士說，這張儲蓄卡是她老公的，但短信通知綁定的是她的手機(jī)。傅女士和老公都沒有消費，她立即向銀行客服詢問，錢是通過淘寶轉(zhuǎn)走的。給淘寶客服打電話，客服人員說是通過淘寶平臺轉(zhuǎn)賬購買了游戲q幣。因為交易限額不能超過1萬元，所以卡上其他的錢還都在。傅女士找到銀行換了新卡，之后向派出所報警。

熱傳網(wǎng)文

裝有支付寶的手機(jī)

丟了會如何

微信朋友圈里流傳《手機(jī)丟了，里面裝了支付寶，后果會如何》的文章，里面提到，首先，獲得手機(jī)后如果不知道支付寶登錄名，好多人的登錄名就是手機(jī)號；不知道登錄密碼，通過點擊“忘記密碼”，一個手機(jī)驗證碼就能搞定。也就是說你只要有了手機(jī)，賬號和登錄密碼就都有了。

而支付寶賬號如果裝有數(shù)字證書，一個短信就可以解除；接下來，支付密碼同樣也可以一個短信就搞定。

文中還提到，如果沒有開通快捷支付，打通訊運營商客服電話可以免費開通。不僅失主的支付寶可以隨便玩，怕失主發(fā)現(xiàn)，還可以通過短信驗證，把該賬號綁定的手機(jī)賬號改掉。

馬上實驗

手機(jī)身份證銀行卡同時丟

支付寶就可能被“隨便玩”

記者實驗發(fā)現(xiàn)，支付寶安全措施已經(jīng)有所升級，若僅僅丟了手機(jī)，出現(xiàn)帖子中所述后果可能性較?。坏绻恍⌒倪B身份證、銀行卡一塊丟了，又沒有及時掛失，帖子中所述的情況卻完全可能發(fā)生。按照所說程序，憑借身份證號，可順利重置登錄密碼，進(jìn)入支付寶界面，機(jī)主的全名、手機(jī)號、賬戶余額、關(guān)聯(lián)的銀行卡數(shù)量、余額寶、娛樂寶等盡收眼底，就如同在隨便玩自己的支付寶賬號。而且，和手機(jī)短信校驗碼配合，重置登錄、支付密碼很簡單。

怕短信“打擾”到賬號主人？

竟然可直接改綁定別的手機(jī)

網(wǎng)帖介紹中，作者還從竊取別人支付寶賬戶者的心態(tài)考慮：這樣的頻繁的短信騷擾是否會讓失主發(fā)現(xiàn)？所以，在操作中把綁定的手機(jī)號碼也改了。

記者再次嘗試，在安全頁面快速入口下點擊“更換手機(jī)”，頁面打開后有兩個選項：無法接收短信、能接收短信。點擊“能接收短信”，又彈出兩個選項：通過證書+手機(jī)校驗碼、通過手機(jī)校驗碼+支付密碼。

這兩個選項，現(xiàn)在都不是問題。選擇第一個，填寫收到的手機(jī)短信校驗碼后，再填寫新手機(jī)號碼，和新手機(jī)收到的短信校驗碼，原來綁定的手機(jī)就接到了停止服務(wù)的提示，短信提醒便轉(zhuǎn)到了新手機(jī)上。

再次進(jìn)入支付寶賬戶頁面，記者發(fā)現(xiàn)，朋友支付寶賬戶的賬戶名也改成了新的號碼。

實驗總結(jié)

支付寶給手機(jī)的權(quán)限

是否太大了？

相關(guān)帖子總結(jié)說，這一切“杯具”的根源在于手機(jī)的權(quán)限太逆天，居然可以解除其他所有安全設(shè)置。正確的策略應(yīng)該是數(shù)字證書優(yōu)先于手機(jī)驗證，可支付寶居然可以讓手機(jī)取消數(shù)字證書……

網(wǎng)帖作者認(rèn)為，支付寶應(yīng)該做的有四點：1.提供禁用手機(jī)號登陸功能；2.找回密碼別這么簡單；3.支付密碼和數(shù)字證書級別應(yīng)在手機(jī)之上，禁止用手機(jī)找回支付密碼，禁止解除數(shù)字證書；4.數(shù)字證書和支付密碼如果要修改，可以委托給合作銀行，或自己在全國開設(shè)網(wǎng)點，銀行身份證和本人驗證，至少目前是最安全的。

記者注意到，盡管支付寶在安全策略上已有所升級，比如找回密碼除了要填寫短信校驗碼外，還增加了安保問題或證件號、銀行卡號等，但核心的安全權(quán)限級別設(shè)置方面，手機(jī)短信似乎還是最大的。

另有網(wǎng)友在評論介紹，如果銀行卡綁定了快捷支付，即便更改了網(wǎng)銀密碼，支付寶還是可以通支付密碼來實現(xiàn)付款、轉(zhuǎn)賬等，這也是一個很大的不安全因素。

記住這幾點賬戶更安全

支付寶網(wǎng)頁有很多關(guān)于賬戶安全的提示，其中有些在網(wǎng)友的評論中也屢次提及：

1.登錄賬號最好不要用手機(jī)號，可以使用郵箱號；

2.登錄密碼和支付密碼最好用數(shù)字和字母組合，最好不要用同一個密碼；

3.給支付寶帳戶申請手機(jī)數(shù)字證書或手機(jī)寶令等；

4.安裝密碼安全控件，可對密碼進(jìn)行加密，有效防止木馬程序截取鍵盤記錄；

5.平時要多注意電腦安全，安裝殺毒軟件，不要上不安全網(wǎng)站，牢記支付寶官方網(wǎng)址，警惕欺詐網(wǎng)站；

6.不要出租、出售賬戶，一旦被不法分子利用，會帶來不必要麻煩。

本組稿件由華商晨報華商響網(wǎng)記者馬虎振采寫

來源： 華商晨報