亲，你的支付宝“防盗”了吗

谢丽娟

得益于互联网技术和金融创新的发展，通过以支付宝为代表的第三方支付平台进行支付逐渐成为人们青睐的支付方式。通过将支付宝绑定手机号码和银行卡，人们可以简单、快捷地实现网络支付、信用卡还款以及水电煤缴费，甚至还能通过支付宝衍生的产品进行投资、理财。但近期，上海市闸北区检察院在案件办理中发现，由于支付宝涉及大量资金进出且多与用户的银行卡绑定，一些不法分子将支付宝用户作为盗窃、诈骗的新目标，甚至出现了专门的“洗料盗宝”群，严重地威胁着支付宝用户的财产安全。

淘宝店家也“中招”

活跃在电子商务领域的淘宝商家可以算是支付宝最早的受益者。2003年支付宝的推出，给淘宝商家提供了更便利也更安全的网上支付平台。但近期，闸北检察院办理了两起支付宝盗窃案，受害者都是淘宝店家，而将贼手伸向他们的正是他们店中的“小二”。

今年28岁的小徐年纪虽轻却事业有成，自2007年以来已陆续和亲友合伙开设了六家淘宝网店，从事服装买卖。随着生意的蒸蒸日上，为保障网店日常交易的顺畅，小徐专门在西藏北路租赁了一套房子作为网店的办公场所，并招聘了五名专职网店客服。为了在便利客服开展工作的同时保障支付宝安全，小徐可是“煞费苦心”，在开放式的办公室里，小徐设置了两台专门用于客服网上交易的电脑，将支付宝设置为记住密码自动登入的模式，并将支付宝的支付密码告诉客服工作人员。这样，客服可以在工作电脑通过支付宝即时完成转账、退款等网上交易，却因不知道支付宝的登录密码而没法在非工作电脑以外的地方登入小徐的支付宝。

可让小徐意想不到的是，他这种看似安全又便利的工作流程恰恰给了他人可乘之机。2013年，小徐的好友王某也到店中帮忙，主要负责售后客服，包括当买家对于商品不滿意要求退货时，将货款退给买家以及买家给好评时返现奖励等。发现自己在工作时可以随时使用小徐的支付宝进行交易，王某直接在办公电脑上将小徐支付宝账户内的钱用于网上购物、消费。由于六家网店每天都有大量的交易，王某的“小动作”并没有引起小徐的注意。自2013年7月起，王某陆续将小徐六个网店支付宝账户内的余额用于网购或转到自己的支付宝账户内，每次转账后，谨慎的王某还会立即将交易记录删除。

直到2014年11月，小徐才发现店内营业账目有很大的出入，并向警方报案。经查，截至案发，王某累计私自转账447次，转入其名下支付宝账户内的钱累计达到人民币31万余元。2015年1月，闸北检察院以涉嫌盗窃罪将王某批准逮捕。

另一位淘宝店主黄某也有着类似的遭遇。虽然黄某没有告诉店内任何客服支付宝的登录密码或支付密码，但一名客服胡某在无意中从黄某侄子处得知了密码，并陆续将黄某支付宝账户内的5万余元余额转走。

有些用户虽然没有泄露自己支付宝的账户信息，但由于与支付宝绑定的手机落入他人手中，不但支付宝的存款被盗，支付宝的密码也被篡改连自己也无法再登入。2014年11月，热衷于网游的大鹏结识了一名女网友小洁，并将其带回了家中。

两人一起在家中打游戏到深夜1时，大鹏因为第二天还有工作就先去休息了，小洁则继续在电脑前玩游戏。玩到凌晨4时，小洁正打算关机离开时，发现大鹏的电脑上还有刚刚退出的支付宝，虽然没有显示登录密码，但账户名就是大鹏的手机号码，而大鹏的手机也正好放在一旁。小洁以“忘记密码”为由让支付宝给大鹏的手机发送了验证短信，并重设了大鹏支付宝密码，登陆后将大鹏支付宝中的2万元余额全部转入自己的支付宝后扬长而去。

盗刷支付宝已成产业链

如果说小徐、大鹏等人的遭遇主要在于不注重保护自身支付宝的账户信息，那么宋先生的支付宝被盗却让人意外。在没有向任何人透露支付宝账号的相关信息、手机也在自己手中的情况下，宋先生的支付宝和绑定银行卡的6万余元竟不翼而飞。

2014年9月，上海的宋先生突然收到一条短信，提示他138的手机卡在安徽被跨省补卡。由于这个手机号与自己的支付宝账号是捆绑的，宋先生立马意识到事情不妙。打开电脑一看，支付宝的6650元余额和余额宝的5万元存款相继被转走，与支付宝绑定的工商银行卡也已经被转走7001元，另外还有一笔1.9999万元的转账正在进行中，尚未完成。宋先生立即打电话通知支付宝客服停止1.9999万元的转账，并向警方报案。

很快，警方就将涉案的钱某、陈某和岳某抓获归案，并将案件移送至上海闸北区检察院审查逮捕。承办的检察官在审查中发现，涉案的岳某、陈某、钱某俨然已经形成了一个完整的支付宝盗刷“产业链”，三人各有“专长”，分工完成了“洗料”“办证”和“盗宝”，最终成功地盗窃了远在千里之外的宋先生的支付宝。

2014年7月，钱某加入了网上一个名为“洗料”的聊天群，并在群中结识了一群“找料”的“专业高手”，这些“高手”自称可以通过木马软件轻松地拦截全国各地的支付宝账户、密码、绑定的手机号码、身份证信息等“料”。但这些“料”的“质量”有高有低，有些信息并不对称。

2014年9月，钱某以2300元的价格向群中的一个“高手”岳某购买了五条他人的支付宝账户、密码、用户的身份证信息和绑定手机号码，其中一条就是上海的宋先生。找到“料”后，负责“办证”的陈某拿着钱某的照片做了一张宋先生的假身份证。钱某再拿着印着自己照片和宋先生名字的假身份证堂而皇之地走进安徽省某移动营业厅异地补办宋先生的手机卡，专门用于截获支付宝公司发出的校验码和短信提醒。由于钱某能正确地输入宋先生手机号的密码，身份证上的照片也与本人相符，所以钱某很轻松地办理了异地补卡业务。万事俱备后，钱某在一宾馆内利用电脑登录宋先生的支付宝账户，神不知鬼不觉地将6万余元转至自己的银行卡中。成功得手后，三人又依葫芦画瓢地盗窃了另外三人的支付宝。

“防盗”关键在于个人信息保护

据支付宝的公开数据显示，至2014年3月20日，支付宝每天的移动支付数超过2500万笔，成为中国最大的第三方支付平台和全球最大的移动支付平台。

高效、便捷的支付方式在不断改善用户支付体验的同时，支付平台的安全隐患同样引起了许多用户的关注。在案件的承办中，检察官发现，近年来，针对支付宝的犯罪活动不断增加，虽然支付宝等第三方支付平台已经设置了身份证实名认证、登录密码、支付密码、短信验证码等多道安全防护屏障，但不法分子還是利用一些安全漏洞隐秘地通过支付平台盗刷用户的钱财。如根据支付宝重置登录密码和支付密码的规则，当支付宝绑定手机号码时，如果用户忘记密码，可以分别通过手机校验码修改登录密码，通过手机校验码和身份证号码修改支付密码。所以在前述案件中，小洁同时获得了大鹏的支付宝账号及绑定支付宝的手机，顺利地改掉了大鹏支付宝账户的密码。另外根据我国相关通讯运营商补办手机卡的规定，只要本人携身份证原件和待补办手机号码和服务密码就可以补办，而且对身份证的审核多为形式审核，无法验证真实性。

从这些案例中折射出的种种安全隐患，不难看出，只有强化支付平台运营商、通讯运营商和政府的责任，才能降低网络支付给用户带来的安全威胁。这包括要求支付平台运营商及时修复管理漏洞，加大客户修改密码、频繁大额转账等申请的审核力度，不断研发和升级保密手段来保障用户资金安全；通讯运营商也应加强补卡审核，加强对身份信息真实性的验证，避免为不法分子提供可乘之机。政府及执法部门还应加大对盗刷支付宝等行为的监管、打击和处罚力度，为网络支付创造良好的社会环境。

此外，更值得关注的是，这些针对支付宝用户的犯罪活动还呈现出智能化、手段隐蔽、团伙作业等特点。在这类盗刷支付宝的犯罪活动前端涉及公民个人隐私的泄露问题。目前，在网络上充斥着大量的“洗料”“拦截料”“收料代洗”群体，每天都有大量的银行卡、支付宝和公民个人信息被买进和卖出，这些“灰色”的信息交易隐藏在虚拟的网络环境之中，既无从得知买卖双方的真实身份，也无法一一甄别信息的来源和真假，对于政府和司法机关而言，无疑极大地增加了打击和取证的难度。

但可以肯定的是，个人信息的泄露是支付宝被盗刷频发的根源所在。要避免支付宝被盗刷，最有效的方法就是用户加强自身的安全意识，主动采取事先防范措施，保管好个人的账号、密码、身份信息及手机。用户在设置相关密码时，尽量选择安全系数较高的密码，不向他人透露支付宝的账号、密码、验证码等信息。使用电脑、手机等终端登录支付宝时尽量不要选择记住账号和密码，用完后应及时退出。登录密码和支付密码最好不要重复，并及时更新替换。注意保护自己的身份信息，不轻易泄露自己的身份证号、银行卡号、手机号码等，不让自己成为身份信息被售卖的受害者。

同时，用户还要强化警惕意识，避免打开或浏览不可信的网站，不要在免费的wifi环境下使用支付宝进行交易或随意扫描二维码，以免陷入网络钓鱼陷阱。经常用安全防护软件进行扫描，防止网络恶意攻击。在绑定手机号码、银行卡时，可以选择不在绑定的银行卡中放置过多钱财，将上网登录支付宝的手机和接收支付宝验证码的手机区分开，增加网络黑客获取个人隐私的难度。一旦遇到绑定支付宝的手机丢失、突然故障、长时间没有信号或支付宝无法登陆等情况，一定要及时冻结绑定的支付宝账户、到营业厅补办SIM卡、将绑定银行卡中的钱款转出，降低支付宝被盗刷的风险，防止损失扩大。

编辑：郑宾 393758162@qq.com