记者测试:手机丢失无法盗取支付宝

互联网 | 编辑: 何毅 2013-09-25 12:45:00转载

假设失主的支付宝钱包还没有设手势密码;假设打开支付宝钱包,刚好发现手机号就是失主的支付宝账号;假设失主是非实名认证账户并且到现在都还没挂失,你可以通过手机校验码验证重置这个账户的登录和支付密码……

假设手机失主一直没有发现手机丢失,或发现了但没有打给运营商挂失;

假设手机刚好没有设置开机密码,或者被成功破解;假设那台手机上刚好装有支付宝钱包APP;

假设失主的支付宝钱包还没有设手势密码;假设打开支付宝钱包,刚好发现手机号就是失主的支付宝账号;假设失主是非实名认证账户并且到现在都还没挂失,你可以通过手机校验码验证重置这个账户的登录和支付密码……

其实,我们想问的是,如果手机丢了或被偷,会不会殃及手机支付宝账户里的钱?

昨天,某购物论坛上出现了一个讨论支付宝安全的帖子。网名“蚂蚁腿全是肉”发布了一条名为“手机掉了,你的支付宝可能也完了!”帖子,瞬间攀升至论坛头条。“蚂蚁腿全是肉”在帖子里称,如果客户将自己的支付宝账户和手机进行了绑定,那么手机丢了,捡到手机的人,可以破解手机绑定的支付宝账户,并盗取里面的资金。

说多了都是泪,网友演示的内容是不是真的?和支付宝绑定了的手机被别人捡到,会不会泄露机主的支付宝账户?

现场测试:很难破解支付宝账户

根据“蚂蚁腿全是肉”网帖演示的步骤,昨天,我们进行了测试。

(强调一遍:测试建立在手机SIM卡丢失并且没有被挂失可正常使用(简单地说就是丢了手机)的前提下。)

昨天,我们假设变身专业小偷成功“偷”到同事小王的私人手机(不知道手机号,捆绑支付宝账号),拿到手机后,很轻松地便试出这部手机的号码。

那么,丢手机的小王是否遭殃了?

拿到手机(捆绑支付宝账户 未知电话号码)——拨打得出手机号码——如下操作:

第一步:

我们点开了支付宝登录界面,界面显示,要输入账号和密码。我们只知道手机号码,不知道登录密码,当然不可能登录该账户。

第二步:

点击“忘记了登录密码”。然后出来一个“找回登录密码”的界面,给出了三种可以找回密码的方式:第一个方式是支付宝官方“推荐”的方式,通过“手机校验码+证件号码的方式”找回密码;第二个方式是“通过安全保护问题”;第三个方式是“通过人工服务”。

第三步:分别对三种方式进行操作:

●点击第一种找回密码的方式,跳出一个界面,要求输入“校验码”和“身份证号码”。

点击“点此免费获取”后,“捡到的手机”上便会收到一条短信,从而获取“校验码”。

(如果不知道机主的身份证号码,便无法再继续破解。)

●点击第二种找回密码的方式“通过安全保护问题”,跳出一个界面,安全保护问题是:我的小学校名是?

(如果对账户主人不熟悉,也很难知道这个答案,也无法继续破解下去。)

●点击第三种方式“通过人工服务”。跳出一个界面,提示输入一个新的邮箱地址。

我们输入一个QQ邮箱地址后,马上收到邮件,打开后,里面有一个链接地址,点击这个地址,便跳出了一个“找回登录密码申请表”,需要填写的项目包括“真实姓名”“手机号码”、需要选择的项目包括“证件所在地”、“证件类型”,需要上传的项目是“彩色、完整的证件图片”。

(很显然,如果仅是捡到支付宝账户主人的一部手机,没有身份证原件等更多信息的话,这一步也很难进行下去。即使这些信息都能填对或者选对,提交后,支付宝账户管理方面,还需要审核。)

结论:三种方式都无法破解密码

总的来说,在目前看来,只丢了手机的话,小偷顶多能去你支付宝里面看看,而无法偷走里面的东西。这就相当于小偷帮你把支付宝房间的锁直接换掉了,但无法把房间里金库的门打开。

“找回密码”界面已经升级

“手机号码+身份证号码”双重验证

我们发现,“蚂蚁腿全是肉”帖子上的所述的找回密码方式之一,仅需输入手机号码和验证码,便可进入下一步操作。而昨晚验证时,“找回密码”的界面,显然已经升级,除了需要输入手机号码之外,还需要输入“身份证号码”,很显然,如果捡到手机者无法知道账户主人的身份证信息,无法继续操作。

网友分析,可能是现在支付宝修改了这个BUG(漏洞),那就意味前面已经被无数小偷成功验证的“漏洞”已经成为了小偷美好的回忆。

支付宝:如是单纯的手机丢失,

造成支付宝账户资金被盗的可能性极小

支付宝客服人员表示,支付宝的官方微博中,9月15日就曾发布了一条名为《手机丢了就代表支付宝完了,是真的吗?》的长微博,根据实际情况做了一次模拟演练,事实证明,如果手机丢了或被偷,要成功盗取到支付宝账户里的钱,是要在文中开始提到的很多个假设都成立的情况下才有可能。

微博中提到,可能有人说已经有人正在自己常用的电脑上模拟账户被盗、找回密码、解除数字证书、开始搬钱的过程,认为这一切都是可行的。其实不用浪费力气了,如果按照那个步骤去做100%会成功。因为你测试的电脑其实就是以往一直在使用这个支付宝账户的设备,这种情况下,系统会认为就是你本人进行的正常操作。但在日常生活中,陌生人捡到你的手机,是无法拿到你的电脑且在你日常使用的被系统认为安全的网络环境下去操作的,因此也就不可能成功。

我们在网上查询到,支付宝曾就此问题向媒体进行了回复:目前基于支付宝智能风险管理系统的保护,消费者在通过手机方式找回账户密码时,系统会根据账户当前操作环境的安全等级判断,给出不同的解决方案。一旦系统检测到安全风险,则需要手机验证码、身份证号码等多重信息的验证。因而如是单纯的手机丢失,则造成支付宝账户资金被盗的可能性极小。

提醒

绑定了支付宝的手机丢失 尽快挂失

银行业内人士提醒:持卡人最好对绑定快捷支付的银行卡进行限额设定,这样可以避免更大的损失。如果绑定了的手机遗失,最先要做的是打电话给支付宝客服,冻结账号,然后冻结支付宝绑定的各银行卡的账号,还需对自己的手机号码进行挂失。

还有,不要用手机号当做支付宝账户。 

相关阅读

每日精选

点击查看更多

首页 手机 数码相机 笔记本 游戏 DIY硬件 硬件外设 办公中心 数字家电 平板电脑