裝了支付寶的手機丟了，怎么辦

　1月25日，《華商報》A7版報道了一名市民沒有消費，銀行卡上的9991元卻被人轉(zhuǎn)走買了游戲Q幣。

而在微信朋友圈也流傳著《手機丟了，里面裝了支付寶，后果會如何》的文章，里面說，通過實際操作發(fā)現(xiàn)，只要裝支付寶的手機被人撿到，就可能被輕松攻克支付寶登錄密碼。

這是真的嗎？華商報記者拿了一部裝有支付寶的手機，按文章所說的方法進行體驗，結(jié)果發(fā)現(xiàn)，盡管支付寶安全措施有所升級，但只要知道幾個關(guān)鍵信息，還是能通過手機或電腦重置登錄密碼、支付密碼、繞過數(shù)據(jù)證書，還可以把綁定的手機號碼改掉。

實驗時間：2015年1月25日

實驗地點：華商報社、西安城南一居民家

實驗人員：華商報記者

新聞事件

沒有消費 銀行卡9991元被轉(zhuǎn)走

聽到手機短信提示，傅女士一看，銀行卡里先后兩次被莫名轉(zhuǎn)走了9991元。

傅女士說，這張工行儲蓄卡是她老公的，但短信通知綁定的是她的手機。1月22日下午2時許，她聽到手機短信提示音，第一條短信顯示該卡網(wǎng)銀支出9691元，第二條短信顯示又支出300元。

傅女士和老公都沒有消費，她立即向工商銀行客服詢問，經(jīng)查詢，錢是通過淘寶轉(zhuǎn)走的。給淘寶客服打電話，客服人員說是通過淘寶平臺轉(zhuǎn)賬購買了游戲Q幣。因為交易限額不能超過1萬元，所以卡上其他的錢還都在。傅女士找到銀行換了新卡，之后向公安蓮湖分局大蓮花池街派出所報警。

工行客服人員說，如果客戶手機丟失或不小心泄露了動態(tài)密碼，造成資金被轉(zhuǎn)，銀行會協(xié)助警方調(diào)查。淘寶客服人員說，通過淘寶下訂單都要經(jīng)過支付寶，如果能查到轉(zhuǎn)賬的支付寶賬號，就可查到交易明細。（1月25日《華商報》A7版）

熱傳微信

裝有支付寶的手機丟了會如何

微信朋友圈里流傳《手機丟了，里面裝了支付寶，后果會如何》的文章，里面提到，首先，獲得手機后如果不知道支付寶登錄名，好多人的登錄名就是手機號；不知道登錄密碼，通過點擊“忘記密碼”，一個手機驗證碼就能搞定。也就是說你只要有了手機，賬號和登錄密碼就都有了。

而支付寶賬號如果裝有數(shù)字證書，一個短信就可以解除；接下來，支付密碼同樣也可以一個短信就搞定。

文章最后提醒：“一定收好你的手機，它比你的錢包還重要。”

如何應(yīng)對

支付寶工作人員：手機丟失后要盡快辦掛失

支付寶公關(guān)部工作人員張女士表示，網(wǎng)上流傳的帖子已經(jīng)很久了。針對其所說的問題，公司通過微信公眾號等途徑曾多次回應(yīng)過。最近的一次是2014年12月15日。實際操作也可以證明，支付寶安保措施升級以后，按照帖子說的去做是行不通的。至于手機、身份證、銀行卡一起丟失，并因而導(dǎo)致支付寶賬號被盜，在現(xiàn)實情況中發(fā)生的幾率并不大。“退一萬步來說，如果真的發(fā)生了這樣的情況，打電話告知95188，就會由保險公司全額賠付。”

張女士提醒支付寶用戶，若發(fā)生手機、身份證、銀行卡一起丟失情況，應(yīng)第一時間撥打通訊運營商電話掛失手機卡，撥打95188凍結(jié)支付寶賬戶，如果有財產(chǎn)損失就一定要報警。

針對“支付寶給予手機的權(quán)限是否過大”的問題，張女士沒有正面回答。她表示：“如果手機、身份證、銀行卡一起丟失，銀行卡上的錢不僅僅可能從支付寶上被竊取，還可能通過其他第三方途徑遭受損失。”言下之意是，用戶對自己的重要證件和重要信息的管理，也是一個很重要的方面。

記住這幾點賬戶更安全

支付寶公關(guān)部工作人員張女士提醒市民，記住這幾點可以更好地保護支付寶賬戶的安全：

1、支付寶登錄密碼和支付密碼最好用數(shù)字和字母組合的高級別密碼，最好與其他網(wǎng)站使用的密碼區(qū)別開來；

2、給支付寶賬戶申請手機數(shù)字證書或手機寶令等；

3、安裝密碼安全控件，可對密碼進行加密，有效防止木馬程序截取鍵盤記錄；

4、平時要多注意電腦安全，安裝殺毒軟件，不要上不安全網(wǎng)站，牢記支付寶官方網(wǎng)址，警惕欺詐網(wǎng)站；

5、手機不要頻繁刷機，不要root，不要接不明文件，不要掃不安全的二維碼；

6、認準支付寶官方客服熱線95188，不要輕易相信別的所謂的客服電話，以免上當受騙。 本版稿件由華商報記者馬虎振采寫

馬上實驗

華商報記者專門進行了實驗。結(jié)果發(fā)現(xiàn)，支付寶安全措施已經(jīng)有所升級，若僅僅丟了手機，出現(xiàn)帖子中所述后果可能性較小；但如果不小心連身份證、銀行卡一塊丟了，又沒有及時掛失，帖子中所述的情況卻完全可能發(fā)生。

手機實驗

僅撿到手機 難以破解登錄密碼

借來朋友沒有設(shè)置開機密碼的iPhone5手機，里面裝了支付寶。支付寶賬戶名就是手機號碼，登錄支付寶用的是手勢密碼。

1.在登錄界面，選擇“管理手勢密碼”，進入“手勢密碼”設(shè)置

2.點擊“忘記手勢密碼”，屏幕彈出“忘記手勢密碼，需要重新登錄”

3.選擇“重新登錄”后，登錄界面上的用戶名是不完整的手機號，密碼是空的。選擇下方“忘記密碼”，出現(xiàn)“重置登錄密碼”的窗口，填了完整手機號和驗證碼，點擊“下一步”

4.彈出了“安全校驗”窗口，顯示有三種方式可以進行安全校驗：通過手機短信+證件號碼校驗、通過手機短信+安全保護問題校驗、聯(lián)系在線客服

不是自己手機，安保問題不好回答；在線客服就算了吧。所以選擇第一種方式，點擊后手機收到校驗碼，填寫后，出現(xiàn)機主的實名，要求填寫身份證號。

結(jié)論：看來，網(wǎng)帖中所說的僅僅憑借校驗碼行不通。

憑借身份證號 可順利重置登錄密碼

1.模擬場景：手機、錢包和手機一起丟了，錢包里有身份證和捆綁支付寶的銀行卡。（生活中，有一些人會習(xí)慣把手機和錢包都放在包里。）

2.和前面步驟相同，到填寫身份證號時，正確填寫，“重置登錄密碼”窗口出現(xiàn)了。設(shè)置新密碼重新登錄后，第一步完全攻克。

3.進入支付寶界面，點擊右下角“財富”按鈕，機主的全名、手機號、賬戶余額、關(guān)聯(lián)的銀行卡數(shù)量、余額寶、娛樂寶等盡收眼底。

知道一張銀行卡 可順利重置支付密碼

1.點擊姓名旁的小箭頭，進入“賬戶與安全”后，“密碼管理”“支付設(shè)置”“賬戶保護”“設(shè)備管理”“快速掛失”等都可以點擊了。

2.進入“密碼管理”，點擊“找回支付密碼”后，出現(xiàn)了兩個選項：通過“短信+安保問題”找回、通過“短信+已存快捷卡”找回。

3.按照設(shè)定的情景，選擇第二種方式，點擊后手機再次收到校驗碼。填寫完，彈出要求填寫“已存快捷卡卡號”的窗口。由于朋友賬號捆綁了一張信用卡、一張儲蓄卡，記者照著儲蓄卡卡號填寫后，點擊下一步。重新設(shè)置“支付密碼”的窗口出現(xiàn)。設(shè)置后，順利破解朋友支付寶賬號最高權(quán)限的密碼。

4.接下來，試著從朋友銀行卡給其支付寶賬號充50元看看。輸入剛才設(shè)置的支付密碼后點擊確定，彈窗顯示“充值成功”。不需要再輸入銀行卡的支付密碼。

5.接下來再試試給別人的支付寶賬號轉(zhuǎn)100元吧。OK！一切順利，就如同在隨便玩自己的支付寶賬號。

電腦實驗

和手機短信校驗碼配合 重置登錄、支付密碼很簡單

電腦實驗情境模擬：手機、裝身份證、銀行卡的錢包一起丟了。也就是說，實驗者掌握著支付寶捆綁的手機和機主身份證號，以及一張支付寶綁定的銀行卡卡號。

1.華商報記者在支付寶登錄頁面的賬戶名中輸入朋友手機號后，直接點擊下面的“忘記登錄密碼”。

2.隨后進入“找回登錄密碼”頁面，填寫賬戶名、網(wǎng)頁驗證碼后，點擊“下一步”。

3.新頁面提示：“你在不常用的環(huán)境下操作”，需要進行安全校驗。有兩個選項可供選擇：通過手機校驗碼+證件號碼、通過人工服務(wù)。

4.選擇第一項后，手機收到校驗碼短信，填寫了校驗碼和身份證號碼，便進入“重置登錄密碼”環(huán)節(jié)。設(shè)定好新密碼后，登錄密碼便被攻克。

5.接下來重新登錄，進入支付寶賬戶頁面。其賬戶余額顯示為50。在其賬戶的交易記錄中，可以看到其通過支付寶購買的所有商品。點擊進入安全中心的安全管家，可以看到其安全等級顯示為“高”，有數(shù)字證書保護。

6.在該頁面左下角，可以看到“快速入口”下的“找回支付密碼”。點擊進入后，填寫了手機收到的校驗碼后，再填完銀行卡卡號和身份證號，便可以順利重置支付密碼。

數(shù)據(jù)證書很頭疼？ 有手機在手便可繞過去

接下來，華商報記者嘗試用電腦給別人支付寶賬號轉(zhuǎn)10元錢，結(jié)果頁面提示，“你是數(shù)字證書用戶，但本臺電腦尚未安裝證書”。這讓華商報記者想起了網(wǎng)帖子中所說的內(nèi)容，從作者的敘述看，應(yīng)該是通過手機短信校驗碼申請取消了數(shù)字證書。

難道只能取消嗎？記者注意到，頁面提示有“你可以安裝數(shù)字證書”。那就安裝一個試試唄！點擊安裝后，填寫了使用地點和頁面驗證碼，提交后再次收到手機短信校驗碼。填寫后，下一步便進入安裝。完畢后再次轉(zhuǎn)賬發(fā)現(xiàn)，又進入了“自由境界”。想怎么玩，就可以怎么玩了。

如果一張銀行卡上沒錢了，還有另一張卡，網(wǎng)帖中還介紹了可以添加銀行卡的事情。華商報記者沒有做這個實驗，但想來既然已經(jīng)掌握了該賬號的最高權(quán)限，有什么事情是做不成的呢？

怕短信“打擾”到賬號主人？竟然可直接改綁定別的手機

網(wǎng)帖介紹中，作者還從竊取別人支付寶賬戶者的心態(tài)考慮：這樣的頻繁的短信騷擾是否會讓失主發(fā)現(xiàn)？所以，在操作中把綁定的手機號碼也改了。現(xiàn)在依然可以這樣做嗎？

華商報記者再次嘗試，在安全頁面快速入口下點擊“更換手機”，頁面打開后有兩個選項：無法接收短信、能接收短信。點擊“能接收短信”，又彈出兩個選項：通過證書+手機校驗碼、通過手機校驗碼+支付密碼。

這兩個選項，現(xiàn)在都不是問題。選擇第一個，填寫收到的手機短信校驗碼后，再填寫新手機號碼，和新手機收到的短信校驗碼，原來綁定的手機就接到了停止服務(wù)的提示，短信提醒便轉(zhuǎn)到了新手機上。

再次進入支付寶賬戶頁面，華商報記者發(fā)現(xiàn)，朋友支付寶賬戶的賬戶名也改成了新的號碼。

實驗總結(jié)

核心安全權(quán)限級別設(shè)置 手機短信似乎最大

相關(guān)帖子總結(jié)說，這一切“杯具”的根源在于手機的權(quán)限太逆天，居然可以解除其他所有安全設(shè)置。正確的策略應(yīng)該是數(shù)字證書優(yōu)先于手機驗證，可支付寶居然可以讓手機取消數(shù)字證書……

網(wǎng)帖作者認為，支付寶應(yīng)該做的有四點：1、提供禁用手機號登錄功能；2、找回密碼別這么簡單；3、支付密碼和數(shù)字證書級別應(yīng)在手機之上，禁止用手機找回支付密碼，禁止解除數(shù)字證書；4、數(shù)字證書和支付密碼如果要修改，可以委托給合作銀行，或自己在全國開設(shè)網(wǎng)點，銀行身份證和本人驗證，至少目前是最安全的。

華商報記者注意到，盡管支付寶在安全策略上已有所升級，比如找回密碼除了要填寫短信校驗碼外，還增加了安保問題或證件號、銀行卡號等，但核心的安全權(quán)限級別設(shè)置方面，手機短信似乎還是最大的。（來源：華商報）