開通快捷支付？小心安全漏洞！

　　密碼可輕易破解，卡內(nèi)資金瞬間流失

　　記者實驗：5分鐘可“盜刷”2萬元專家觀點：網(wǎng)絡(luò)支付驗證平臺要注意保密

　　“無需網(wǎng)銀，只需關(guān)聯(lián)您的信用卡或借記卡，每次付款時只需輸入支付寶支付密碼即可完成付款……”這是支付寶快捷支付的宣傳廣告語。快捷支付在給市民帶來方便的同時，也給市民帶來了安全的困擾，部分使用支付寶“快捷功能”的客戶遭遇網(wǎng)絡(luò)盜刷，與支付寶綁定的銀行(行情 專區(qū))卡資金被“螞蟻搬家”。支付寶在自己的網(wǎng)頁上還列出了近期因為被盜刷而理賠的案例，最大一筆資金達到9492.24元。

　　記者根據(jù)網(wǎng)上的一些提示，對快捷支付手段做了一次安全實驗，發(fā)現(xiàn)了一些值得注意的安全漏洞。

　　實驗：“撿到”手機后，五分鐘內(nèi)盜刷2萬元

　　為了驗證網(wǎng)上流傳的“快捷支付存在安全問題”是否真實，記者做了一個實驗，模擬在“撿到”一部手機之后，如何破解密碼并刷取卡內(nèi)資金。首先，記者拿起同事的一部手機，當(dāng)然前提是這部手機已經(jīng)綁定了支付寶快捷支付，并且假設(shè)記者并不知道該同事的其他信息。下面是記者的實驗過程：

　　第一步：記者打開支付寶的登入界面，在賬戶名一欄記者看到輸入手機號碼或郵箱地址的提示，而這兩個信息拿到手機的人都會知道，記者點擊旁邊的忘記登錄密碼，并嘗試這個手機的號碼或手機里面的QQ郵箱是否已注冊支付寶賬號，記者嘗試后知道，這個手機的號碼就是支付寶的賬號。

　　第二步：接下來是輸入手機驗證碼，當(dāng)你點擊發(fā)送手機驗證碼時，會有一組六位數(shù)字的驗證碼發(fā)到這個手機上，這時只要你輸入這組數(shù)字，就可以進入更改密碼的界面，記者由此完成對密碼的修改。

　　第三步：知道支付寶賬號和密碼后，記者登入這個賬號的支付寶界面，在賬戶管理的界面里，記者可以看到這個賬號上面的余額，還能看到這個賬號綁定了中國銀行(行情 股吧 買賣點)卡。記者同樣運用找回密碼這一功能，用這個手機接到的驗證碼將綁定的銀行卡快捷支付密碼更換。

　　第四步：記者接下來通過快捷支付轉(zhuǎn)賬，輸入新的支付密碼后，成功轉(zhuǎn)出中國銀行規(guī)定的最高額度兩萬元。記者看了一下時間，從開始操作修改密碼到完成轉(zhuǎn)賬，記者只用了5分鐘時間。

　　隨后，記者又讓同事修改銀行卡密碼。但是記者發(fā)現(xiàn)銀行卡密碼被修改后，支付寶賬戶綁定的銀行卡付款操作并未受到任何影響。這意味著，開通快捷支付后，萬一手機被盜，綁定的銀行卡很容易遭到盜刷，即使用戶修改了銀行卡的密碼也無法阻止盜刷。

　　▲8月21日，記者使用同事的手機成功進行身份驗證，獲取驗證碼。

　　問題在哪：身份驗證平臺是關(guān)鍵

　　完成這些后，記者也覺得不可思議，資金的安全鑰匙如此輕易地被一一破解，到底問題出在哪里？

　　在實驗過程中，記者也發(fā)現(xiàn)，這次實驗的成功也存在偶然性，第一是手機的主人就用手機號碼作為支付寶的賬號，讓后面的密碼尋找成了可能。第二就是手機的主人并沒有添加支付寶的付費保障手段。所以記者才能用一個手機就能破解手機主人的支付寶賬號密碼和綁定的銀行卡賬號支付密碼。

　　記者就這一現(xiàn)象請教了中國銀行湖南省分行電子銀行部門的一位專家，他告訴記者，目前金融已經(jīng)進入網(wǎng)絡(luò)時代，各種網(wǎng)絡(luò)支付手段都會使用到移動驗證或郵箱驗證，上面出現(xiàn)這樣的情況就是因為手機這個驗證平臺出現(xiàn)了問題，并且手機主人使用手機號碼作為了支付寶賬號，所以才造成了資金賬號的安全問題。

　　支付寶回應(yīng)：在同一局域網(wǎng)內(nèi)確實存在被盜刷風(fēng)險

　　對于此事記者打電話咨詢了支付寶的工作人員，支付寶公關(guān)部的相關(guān)人士并沒有否認(rèn)記者所做實驗的真實性，只是一味強調(diào)支付寶沒有安全漏洞。

　　支付寶公關(guān)部的相關(guān)人士認(rèn)為，記者的實驗設(shè)定在特殊環(huán)境內(nèi)，如果實驗不在同一局域網(wǎng)絡(luò)內(nèi)操作，就不會出現(xiàn)這種情況。她表示，“目前基于支付寶智能風(fēng)險管理系統(tǒng)的保護，消費者在通過手機方式找回賬戶密碼時，系統(tǒng)會根據(jù)賬戶當(dāng)前操作環(huán)境的安全等級判斷，給出不同的解決方案。一旦系統(tǒng)檢測到安全風(fēng)險，則需要手機驗證碼、身份證號碼等多重信息的驗證。因而如是單純的手機丟失，則造成支付寶賬戶資金被盜的可能性極小?！?/p>

　　對于記者提出的由熟人短暫借用或者占用手機后，在手機主人平時操作的局域網(wǎng)絡(luò)內(nèi)進行操作造成的安全問題，支付寶公關(guān)部的這位人士則強調(diào)這是一個道德風(fēng)險問題?！斑@是一個道德問題，如果出現(xiàn)這種情況，出現(xiàn)損失的支付寶用戶應(yīng)該在第一時間報警?！痹撓嚓P(guān)人士表示。

　　提醒：驗證平臺要保密

　　有問題應(yīng)凍結(jié)支付寶

　　專家表示，網(wǎng)絡(luò)金融時代，搞清楚這些金融支付手段非常重要，如果沒有安全防備心理，很容易出現(xiàn)安全漏洞，給人以可乘之機。在使用網(wǎng)絡(luò)金融平臺時，可從以下幾個方面進行防范：

　　在平時登錄支付寶時，取消“記住用戶名”、“十天內(nèi)自動登錄”等設(shè)置。

　　選擇只有自己知道的郵箱作第三方認(rèn)證通道。網(wǎng)絡(luò)金融時代除了密碼之外，有一個認(rèn)證渠道很重要，修改密碼這樣的操作都會經(jīng)過這個平臺進行認(rèn)證，所以建議選擇一個隱蔽的只有自己知道的認(rèn)證平臺，比如，市民可以選用只有自己知道的郵箱作為認(rèn)證渠道，而這個平臺也會起到像密碼一樣的保護作用。

　　設(shè)定消費限額。銀行業(yè)內(nèi)人士指出，持卡人最好對綁定快捷支付的銀行卡進行限額設(shè)定，這樣可以避免更大的損失。

　　如果遺失手機，出現(xiàn)安全隱患后，又該如何處理呢？中行專家表示，這時候修改銀行卡密碼是不行的，這時候最先要做的是打電話給支付寶客服，凍結(jié)自己的支付寶賬號，然后凍結(jié)支付寶綁定的各銀行卡的賬號，還需對自己的手機號碼進行掛失，防止其他綁定手機的業(yè)務(wù)出現(xiàn)安全問題。