卖掉旧手机后支付宝被盗刷2.5万元

admin 2022年4月6日10:17:04安全闲碎评论47 views2769字阅读9分13秒阅读模式

 日前,一名网名“聂小刚”的微博网友在微博发布的《我用十天追回支付宝盗刷款25000元的奇葩经历》成为网络热帖,支付宝再次被推到风口浪尖。3月11日夜间,支付宝回应了此事,推测小刚账户被盗的关键原因,是该网友在1月份转卖锤子手机时,曾将自己的开机密码和锤子手机云账户密码等重要信息告诉了买家,而这些信息很可能和支付宝信息高度雷同,导致盗用者利用信息破解了账户。

  网友:没有收到任何账号异常提醒和短信验证码

  微博网友“聂小刚”的长微博详细记录了支付宝被盗刷的经历:2016年2月16日中午12时30分左右,他收到招商银行和支付宝APP的Push通知,连续被消费了两笔订单,一笔4999元,一笔20000元。共计24999元人民币。立即锁信用卡,报警110,反馈银行,反馈支付宝。2月25日才终于追回了盗刷款。“之所以几经周折,因为这期间有太多坑,让受害人去填去绕,没经历过简直无法想象。”

  网友“聂小刚”称,在报警和反馈信用卡中心后,打支付宝客服反馈账户被盗,客服后来来电,问其是不是认识一个叫“彭××”的,是否使用过一部锤子手机,后来他才想起来,曾经有一部锤子手机,和一部iPhone 5C一起打包在闲鱼平台上卖了1000元。而买他手机的人,正是“彭××”。支付宝客服随后告诉他,可能是“熟人作案”,不在理赔范围。

  网友“聂小刚”非常吃惊,因为2月16日当天他的支付宝一直在他绑定手机号的手机上登录着,还在12点左右正常消费了两笔。另一部锤子手机(异地、手机号非绑定手机号),竟然可以同时直接登录他的支付宝并且在他支付宝从来没消费过的“天天夺宝”进行两笔大额支付。而他也没有收到任何账号异常提醒和短信验证码。

  在第一次理赔失败后,他表示不接受理赔审核,要求重新审核,但第二轮的理赔审核一天就结束了,依然是拒赔。到了事情发生的第五天,他突然发现了一个情况,有一部设备号为H60-L02的手机在案发当天(16号)使用了他的支付宝。经查询这设备号是华为手机的,而他从来没有过华为手机,也从来没在华为手机上登录过支付宝。

  他更为不解了:“华为手机我从来没使用过,竟然可以直接在支付宝没有任何提醒和验证(包括手机短信)的情况下,登录我的支付宝。而我明明正常登录并消费了,绑定的手机卡号也正常使用。与支付宝账户登录安全策略不符。”聂小刚提出了疑问。

  其间他一度想要放弃,但事情后来发生了转机,他终于获得银行的盖章流水,并从派出所获得报警回执。而支付宝也作为中间方,和使用锤子手机的人联络,最终在25日下午购买了他手机的人归还了这笔款项。

  支付宝:转卖手机开机密码曾告诉买家

  钱虽然回来了,但这位网友依然有很多心结。例如,为何你没用过的手机会出现在你的账户列表?为何锤子手机的绑定手机卡、支付宝APP都删除并出售后,对方还是可以在我手机明明登录着支付宝并有正常交易的情况下没有任何提醒和验证地去登录去消费?该微博在发布后引起巨大反响,昨晚8时许,该消息已经被阅读超过了355万人。而3月11日夜间支付宝也用长微博进行了道歉并回应。

  支付宝称,在客服和小刚的交流中,了解到小刚在 1 月份转卖锤子手机时,曾将自己的开机密码和锤子手机云账户密码等重要信息告诉给了买家彭先生。而这些账户、密码信息可能与小刚支付宝账户的信息高度雷同,从而导致盗用者利用这些信息破解了账户。

  支付宝建议,在转送或者转卖闲置手机前,先将手机恢复出厂设置,同时建议大家平时在管理自己的各种网络账户时,都设立独立的密码,避免因账户间的密码一致或高度雷同,而给自己的任何其他账户带来风险,尤其是跟资金相关的网络支付账户。

  一般来说,支付宝会将被盗用户的理赔材料提交给保险公司核赔,同时支付宝的安全大脑会在后台对用户的被盗交易进行调查,并把调查结果输给保险公司,保险公司综合判断后进行相应的理赔。

  由于小刚被盗刷的交易发生在他曾经用过的锤子手机上,促成交易完成的支付宝密码也是完全正确的,这样的交易与在安全可信环境下进行的交易有一定的一致性,与常规的被盗情况有所区别,保险公司因此给出了不予理赔的决定。

  支付宝道歉并帮忙追回款项

  至于“聂小刚”疑惑的“为什么他人在陌生的华为手机上操作自己的账户,自己的手机却没有收到提醒,支付宝的客服人员也没有查到?”这个问题上,支付宝称再次道歉,的确没有第一时间监测到这个风险,导致小刚没有及时收到相关安全提醒。“后续我们会继续对我们的安全核查机制进行优化和改进,进一步提高我们的风险稽查精准度。”

  至于支付宝为什么一边建议用户报案,又一边帮用户联系“嫌疑人”协调此事?支付宝则回应称,对于支付宝来说,收到用户关于账户出现被盗情况的反馈,如果涉及的资金金额较大,在协助用户的同时也会建议用户联系公安机关进行报案,请求司法帮助。毕竟支付宝不是司法机关,无法单方面下定论谁是盗用者并动用强制手段。

  而在客服的沟通下,该笔款项彭先生已经退还给了小刚。“后续如果公安机关还需要进一步调查小刚这起案件,支付宝会一如既往配合提供相关信息和资料。”

  不过,对于支付宝的道歉,被盗刷用户聂小刚在微博上回应“不能接受,情绪不是很稳定。”

  大家忙删除已不用的陌生设备

  记者了解到,如今支付宝的账户安全险,是永安保险提供,0.88元保费可以最高赔付100万元。虽然在保障中提及,“被保险账户因被他人盗用而导致资金损失,按实际损失金额100%给付保险金,最高赔付金额为100万元。”但是在责任免除项目中,“被保险人主动将资产转入他人账户或主动向他人提供或泄露支付账户密码、安全工具(包括 U 盾、物理口令卡、绑定手机/手机验证码、数字证书等)”的情况造成的损失、费用和责任,保险人不负责赔偿。无疑,对于大部分人来说,一定不要随便向他人泄露自己的密码,二手手机或不用的电子设备,最好从支付宝中删除较为稳妥。

  昨日,已经有人建议,为了安全起见,应该进入手机中的支付宝—设置—安全设置—安全中心—设备管理将不常用的设备取消掉。记者按该策略登录进支付宝发现,记者手机中的支付宝也显示了五个曾用过的设备,其中支付宝会告诉你正在使用的是哪部手机,其余的手机会显示首次使用支付宝的时间。点击已经不用的设备,如果要“删除”,支付宝会跳出“删除后,当前账户在该设备上将要求重新登录”的提示,点击之后就可以删除不用的设备。

  不少人告诉记者,随着支付宝使用的普及,已经代替了很多人的“钱包”功能,的确对安全有所担忧,希望支付宝可以增加风控措施。南京市民刘小姐称,自己去超市结账、去饭店吃饭,很多地方只要扫一下自己的付款码,自己不需要密码、验证码等任何手续即可完成支付,“万一手机被盗,也存在风险”。


原文始发于微信公众号(白帽子):卖掉旧手机后支付宝被盗刷2.5万元

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年4月6日10:17:04
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  卖掉旧手机后支付宝被盗刷2.5万元 http://cn-sec.com/archives/869584.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: