親，你的支付寶“防盜”了嗎

謝麗娟

得益于互聯網技術和金融創新的發展，通過以支付寶為代表的第三方支付平臺進行支付逐漸成為人們青睞的支付方式。通過將支付寶綁定手機號碼和銀行卡，人們可以簡單、快捷地實現網絡支付、信用卡還款以及水電煤繳費，甚至還能通過支付寶衍生的產品進行投資、理財。但近期，上海市閘北區檢察院在案件辦理中發現，由于支付寶涉及大量資金進出且多與用戶的銀行卡綁定，一些不法分子將支付寶用戶作為盜竊、詐騙的新目標，甚至出現了專門的“洗料盜寶”群，嚴重地威脅著支付寶用戶的財產安全。

淘寶店家也“中招”

活躍在電子商務領域的淘寶商家可以算是支付寶最早的受益者。2003年支付寶的推出，給淘寶商家提供了更便利也更安全的網上支付平臺。但近期，閘北檢察院辦理了兩起支付寶盜竊案，受害者都是淘寶店家，而將賊手伸向他們的正是他們店中的“小二”。

今年28歲的小徐年紀雖輕卻事業有成，自2007年以來已陸續和親友合伙開設了六家淘寶網店，從事服裝買賣。隨著生意的蒸蒸日上，為保障網店日常交易的順暢，小徐專門在西藏北路租賃了一套房子作為網店的辦公場所，并招聘了五名專職網店客服。為了在便利客服開展工作的同時保障支付寶安全，小徐可是“煞費苦心”，在開放式的辦公室里，小徐設置了兩臺專門用于客服網上交易的電腦，將支付寶設置為記住密碼自動登入的模式，并將支付寶的支付密碼告訴客服工作人員。這樣，客服可以在工作電腦通過支付寶即時完成轉賬、退款等網上交易，卻因不知道支付寶的登錄密碼而沒法在非工作電腦以外的地方登入小徐的支付寶。

可讓小徐意想不到的是，他這種看似安全又便利的工作流程恰恰給了他人可乘之機。2013年，小徐的好友王某也到店中幫忙，主要負責售后客服，包括當買家對于商品不滿意要求退貨時，將貨款退給買家以及買家給好評時返現獎勵等。發現自己在工作時可以隨時使用小徐的支付寶進行交易，王某直接在辦公電腦上將小徐支付寶賬戶內的錢用于網上購物、消費。由于六家網店每天都有大量的交易，王某的“小動作”并沒有引起小徐的注意。自2013年7月起，王某陸續將小徐六個網店支付寶賬戶內的余額用于網購或轉到自己的支付寶賬戶內，每次轉賬后，謹慎的王某還會立即將交易記錄刪除。

直到2014年11月，小徐才發現店內營業賬目有很大的出入，并向警方報案。經查，截至案發，王某累計私自轉賬447次，轉入其名下支付寶賬戶內的錢累計達到人民幣31萬余元。2015年1月，閘北檢察院以涉嫌盜竊罪將王某批準逮捕。

另一位淘寶店主黃某也有著類似的遭遇。雖然黃某沒有告訴店內任何客服支付寶的登錄密碼或支付密碼，但一名客服胡某在無意中從黃某侄子處得知了密碼，并陸續將黃某支付寶賬戶內的5萬余元余額轉走。

有些用戶雖然沒有泄露自己支付寶的賬戶信息，但由于與支付寶綁定的手機落入他人手中，不但支付寶的存款被盜，支付寶的密碼也被篡改連自己也無法再登入。2014年11月，熱衷于網游的大鵬結識了一名女網友小潔，并將其帶回了家中。

兩人一起在家中打游戲到深夜1時，大鵬因為第二天還有工作就先去休息了，小潔則繼續在電腦前玩游戲。玩到凌晨4時，小潔正打算關機離開時，發現大鵬的電腦上還有剛剛退出的支付寶，雖然沒有顯示登錄密碼，但賬戶名就是大鵬的手機號碼，而大鵬的手機也正好放在一旁。小潔以“忘記密碼”為由讓支付寶給大鵬的手機發送了驗證短信，并重設了大鵬支付寶密碼，登陸后將大鵬支付寶中的2萬元余額全部轉入自己的支付寶后揚長而去。

盜刷支付寶已成產業鏈

如果說小徐、大鵬等人的遭遇主要在于不注重保護自身支付寶的賬戶信息，那么宋先生的支付寶被盜卻讓人意外。在沒有向任何人透露支付寶賬號的相關信息、手機也在自己手中的情況下，宋先生的支付寶和綁定銀行卡的6萬余元竟不翼而飛。

2014年9月，上海的宋先生突然收到一條短信，提示他138的手機卡在安徽被跨省補卡。由于這個手機號與自己的支付寶賬號是捆綁的，宋先生立馬意識到事情不妙。打開電腦一看，支付寶的6650元余額和余額寶的5萬元存款相繼被轉走，與支付寶綁定的工商銀行卡也已經被轉走7001元，另外還有一筆1.9999萬元的轉賬正在進行中，尚未完成。宋先生立即打電話通知支付寶客服停止1.9999萬元的轉賬，并向警方報案。

很快，警方就將涉案的錢某、陳某和岳某抓獲歸案，并將案件移送至上海閘北區檢察院審查逮捕。承辦的檢察官在審查中發現，涉案的岳某、陳某、錢某儼然已經形成了一個完整的支付寶盜刷“產業鏈”，三人各有“專長”，分工完成了“洗料”“辦證”和“盜寶”，最終成功地盜竊了遠在千里之外的宋先生的支付寶。

2014年7月，錢某加入了網上一個名為“洗料”的聊天群，并在群中結識了一群“找料”的“專業高手”，這些“高手”自稱可以通過木馬軟件輕松地攔截全國各地的支付寶賬戶、密碼、綁定的手機號碼、身份證信息等“料”。但這些“料”的“質量”有高有低，有些信息并不對稱。

2014年9月，錢某以2300元的價格向群中的一個“高手”岳某購買了五條他人的支付寶賬戶、密碼、用戶的身份證信息和綁定手機號碼，其中一條就是上海的宋先生。找到“料”后，負責“辦證”的陳某拿著錢某的照片做了一張宋先生的假身份證。錢某再拿著印著自己照片和宋先生名字的假身份證堂而皇之地走進安徽省某移動營業廳異地補辦宋先生的手機卡，專門用于截獲支付寶公司發出的校驗碼和短信提醒。由于錢某能正確地輸入宋先生手機號的密碼，身份證上的照片也與本人相符，所以錢某很輕松地辦理了異地補卡業務。萬事俱備后，錢某在一賓館內利用電腦登錄宋先生的支付寶賬戶，神不知鬼不覺地將6萬余元轉至自己的銀行卡中。成功得手后，三人又依葫蘆畫瓢地盜竊了另外三人的支付寶。

“防盜”關鍵在于個人信息保護

據支付寶的公開數據顯示，至2014年3月20日，支付寶每天的移動支付數超過2500萬筆，成為中國最大的第三方支付平臺和全球最大的移動支付平臺。

高效、便捷的支付方式在不斷改善用戶支付體驗的同時，支付平臺的安全隱患同樣引起了許多用戶的關注。在案件的承辦中，檢察官發現，近年來，針對支付寶的犯罪活動不斷增加，雖然支付寶等第三方支付平臺已經設置了身份證實名認證、登錄密碼、支付密碼、短信驗證碼等多道安全防護屏障，但不法分子還是利用一些安全漏洞隱秘地通過支付平臺盜刷用戶的錢財。如根據支付寶重置登錄密碼和支付密碼的規則，當支付寶綁定手機號碼時，如果用戶忘記密碼，可以分別通過手機校驗碼修改登錄密碼，通過手機校驗碼和身份證號碼修改支付密碼。所以在前述案件中，小潔同時獲得了大鵬的支付寶賬號及綁定支付寶的手機，順利地改掉了大鵬支付寶賬戶的密碼。另外根據我國相關通訊運營商補辦手機卡的規定，只要本人攜身份證原件和待補辦手機號碼和服務密碼就可以補辦，而且對身份證的審核多為形式審核，無法驗證真實性。

從這些案例中折射出的種種安全隱患，不難看出，只有強化支付平臺運營商、通訊運營商和政府的責任，才能降低網絡支付給用戶帶來的安全威脅。這包括要求支付平臺運營商及時修復管理漏洞，加大客戶修改密碼、頻繁大額轉賬等申請的審核力度，不斷研發和升級保密手段來保障用戶資金安全；通訊運營商也應加強補卡審核，加強對身份信息真實性的驗證，避免為不法分子提供可乘之機。政府及執法部門還應加大對盜刷支付寶等行為的監管、打擊和處罰力度，為網絡支付創造良好的社會環境。

此外，更值得關注的是，這些針對支付寶用戶的犯罪活動還呈現出智能化、手段隱蔽、團伙作業等特點。在這類盜刷支付寶的犯罪活動前端涉及公民個人隱私的泄露問題。目前，在網絡上充斥著大量的“洗料”“攔截料”“收料代洗”群體，每天都有大量的銀行卡、支付寶和公民個人信息被買進和賣出，這些“灰色”的信息交易隱藏在虛擬的網絡環境之中，既無從得知買賣雙方的真實身份，也無法一一甄別信息的來源和真假，對于政府和司法機關而言，無疑極大地增加了打擊和取證的難度。

但可以肯定的是，個人信息的泄露是支付寶被盜刷頻發的根源所在。要避免支付寶被盜刷，最有效的方法就是用戶加強自身的安全意識，主動采取事先防范措施，保管好個人的賬號、密碼、身份信息及手機。用戶在設置相關密碼時，盡量選擇安全系數較高的密碼，不向他人透露支付寶的賬號、密碼、驗證碼等信息。使用電腦、手機等終端登錄支付寶時盡量不要選擇記住賬號和密碼，用完后應及時退出。登錄密碼和支付密碼最好不要重復，并及時更新替換。注意保護自己的身份信息，不輕易泄露自己的身份證號、銀行卡號、手機號碼等，不讓自己成為身份信息被售賣的受害者。

同時，用戶還要強化警惕意識，避免打開或瀏覽不可信的網站，不要在免費的wifi環境下使用支付寶進行交易或隨意掃描二維碼，以免陷入網絡釣魚陷阱。經常用安全防護軟件進行掃描，防止網絡惡意攻擊。在綁定手機號碼、銀行卡時，可以選擇不在綁定的銀行卡中放置過多錢財，將上網登錄支付寶的手機和接收支付寶驗證碼的手機區分開，增加網絡黑客獲取個人隱私的難度。一旦遇到綁定支付寶的手機丟失、突然故障、長時間沒有信號或支付寶無法登陸等情況，一定要及時凍結綁定的支付寶賬戶、到營業廳補辦SIM卡、將綁定銀行卡中的錢款轉出，降低支付寶被盜刷的風險，防止損失擴大。

編輯：鄭賓 393758162@qq.com