如何掉进网上支付黑洞？ 揭秘盗取账号密码手法

　　支付宝方面提醒说，正规的第三方支付平台工作人员，以及有诚信的卖家在联系用户时，是不会索要账户密码信息的。当对方试图询问密码、手机校验码等信息时，就一定要提高警惕，千万不要透露。

　　手法三：

　　低价陷阱

　　经典案例：网购新手小菜童鞋看到了一个7.5折的点卡卖家，十分高兴，马上联系。但卖家要求用QQ联系才有优惠。小菜于是通过QQ和卖家再次联系后，卖家发过来一个链接，点击后进行了支付。可是，支付页面显示：“支付失败！支付宝支付功能升级维护中，请您使用网上银行进行支付！”几次支付失败后，小菜取消了购买。

　　实际上，小菜点击的链接进入的就是骗子事先做的虚假页面，当进行支付操作的时候，密码信息就被骗子掌控到。幸运的是小菜使用了数字证书，骗子在得不到手机确认时，就无法动用账户里的资金。

　　安全专家提醒

　　不少骗子会用极优惠的价格先吸引来一些用户，然后想办法让对方点击自己的虚假支付链接，由于旺旺等聊天工具具备一定的安全鉴别功能，他们通常会选用其他一些聊天工具做手脚。建议用户最好用购物网站的专用聊天工具进行沟通，并尽量选择手机动态口令、数字证书等安全措施保护账户安全。

　　手法四：

　　“短信转移”盗取账号

　　经典案例：去年8月4日晚上10时56分，正准备入睡的周晨收到一条来自10086的短信称：您已开通“短信转移”，每月收费3元……周晨此前从未听说过这类业务，没有多加注意就关机睡觉了。结果第二天早上，周晨一开机，就收到这样一条短信：支付宝在7月15日0:00时消费500元。周晨这下才知道，自己的支付宝被盗刷了。此后经过查询，周晨一共被盗刷了两笔共1000元。根据查询，这1000元全部被用于向一家网络公司充值。

　　周晨的支付宝账户内并没有存钱，怎么会被盗刷1000元呢？原来她选择了支付宝的快捷支付。根据快捷支付规定，当用户第一次使用“快捷支付”时，通过银行卡资料验证和手机动态口令校验即可完成支付，之后再次购物时，只要输入支付宝支付密码，绑定银行卡的“快捷支付”便可以直接付款，而无需重新输入银行卡资料或跳转到网上银行。

　　但是，在密码和手机校验码这样的双重保障下，为何账号还是会被盗？在多方查询后，周晨终于弄清了账号被盗的整个流程：先是支付宝密码被盗，盗用者从其账户内找到绑定的手机号码，由于周晨的手机网上营业厅密码与支付宝密码相同，盗用者随即登录网上营业厅，开通短信转移业务，这便是周晨收到的那条莫名短信。此后在短信转移业务尚未关闭的几分钟内，利用转移到盗用者手机上的校验码短信，盗用者迅速利用快捷支付盗刷了1000元。

　　事件发生后，周晨和支付宝方面取得联系，客服人员表示，让他先上传身份证，3个工作日内会有工作人员联系他完成赔付。果然，周晨被盗刷的1000元钱就由支付宝全额赔付了。经客服人员提醒，他也修改了支付宝密码，并查杀了木马病毒。

　　安全专家提醒

　　利用移动运营商提供的一些业务进行犯罪还是一种新型手法。这类支付宝账号被盗事件也给出了警示：正是因为周晨的手机网上营业厅密码与支付宝密码相同，才让不法分子有机可乘，开通了短信转移，盗取了账号和资金。为防止账号被盗，设置好自己的密码非常重要。像是支付宝、网银、手机网上营业厅等涉及资金和个人隐私的账号，一定要分别单独设置高强度的密码。

　　此外，使用数字证书、支付盾、宝令等安全产品也能够帮助提升账户的安全等级。像周晨这样账户内少留或者不留余额，尽量通过支付宝快捷支付付款，如果出现风险，支付宝会给予全额赔付，这也不失为避免资金损失的好方法。

　　知多D

　　如何识别假冒支付宝的虚假邮件？

　　1.正确的支付宝系统邮箱地址为service@mail.alipay.com">service@mail.alipay.com或alipay@mail.alipay.com">alipay@mail.alipay.com；

　　2.支付宝已经与国内主流邮件厂商合作，正常的支付宝邮件发件人栏会有支付宝盾牌标志；

　　3.在不能辨别邮件真假时，不要点击邮件中的任何链接和附件，并致电支付宝24小时客服热线，如需查询账户信息最好亲自登录支付宝官方网站www.alipay.com进行查询，在确认真实情况前，先不要点击邮件中的任何链接和附件，以防中木马病毒。

　　此外，在买(卖)家表示你的账户存在安全问题并给予截图时，勿轻信，应及时联系支付宝客服确认截图显示的情况是否属实。

　　刘薇

【 作者：何敏  编辑： 】