犯罪嫌疑人利用支付宝的漏洞，伪造王女士的基本信息，从她卡里轻松转走了近2万元

手机在身上，身份证也在身上，银行卡里的钱却被人通过支付宝转走了。这种不可思议的事，就发生在32岁的王女士身上。

王女士在重庆做生意，今年9月2日，她突然发现自己银行卡里的近2万元现金，被人通过支付宝分5次转走了。

她的支付宝有“三重保护”：有实名认证，有数字证书，还有手机认证，钱是怎么不见的？

王女士回想起，9月1号下午，她的手机曾出现过几个小时没信号，手机信号格处显示“无服务”，她当时没在意。

手机突然的蹊跷和这起银行卡“隔空丢钱”之间有关系吗？

不幸中的万幸：

事发前几天这张银行卡里还有200多万

由于生意需要，王女士经常用支付宝转账。9月2日，她用支付宝给别人转账时，发现银行卡余额不足，查询才发现，卡里的钱共计19120元已经分5次转到一张户名叫邹飞凤的银行账户上：这个人她并不认识。

王女士说，就在几天前，她跟支付宝绑定的这张银行卡里还有200多万元。幸好当时已经转出！

民警很快抓获犯罪嫌疑人

接到报警后，渝北龙溪派出所民警先后调取王女士被盗取银行卡和邹飞凤的账户交易明细。随后，办案民警先后调取查看了取款点内的多个监控录像，采取多种侦查方式，终于确定了作案嫌疑人员身份信息。

10月19日和20日，民警先后在江北区和渝中区将犯罪嫌疑人余某和杨某抓获。

“不可思议的作案”如何完成的？

警方很快揭开犯罪嫌疑人的作案过程。

第一步：

找到受害人的身份证号等个人信息制作假身份证到通信营业厅“补办”手机卡

今年6月，做健身器材销售的杨某闲来无事，上网时看见论坛上有人反映支付宝有漏洞，7月份，他与朋友余某碰头打起了这个主意。

今年8月中旬，杨某登录一家金融公司的网站，在一个查询页面，随便输了一个名字碰碰运气：“王某某”，居然还真有这个人，且上面显示出了她的身份证号码和电话号码。这人就是王女士。杨某通过王女士的身份信息查到，王女士注册了支付宝。

获得了王女士的信息后，杨某找了家办假证的，把王女士的身份证号码发给对方，随便找了张女人的照片附上，很快，他就有了一张王女士的假身份证。

同时，他还在淘宝上买了一张别人用过后没有销户的银行卡。

一切办妥后，杨某的朋友余某拿着王女士的“身份证”和王女士电话号码，去了附近一家通信营业厅，准备“补办”手机卡。为了避免怀疑，余某还提前背好了王女士的电话号码。工作人员问到时，他说是替朋友补办，而且对方问电话号码时，也可以轻松背出，所以没有引起怀疑。

第二步：

手机号+身份证号 2条短信绕过支付宝密码轻松转走钱

电话卡补办好后，他们在电脑里打开支付宝。怎么破解王女士的支付宝密码？支付宝登录页面有个找回密码，他们用这个复制的手机号发送给支付宝平台，不一会手机短信接收验证码，再输入验证码重新修改王女士的支付宝密码。

他们通过王女士的支付宝，把钱转到了买来的那张银行卡上。而此刻，因为有同一个号码的手机卡正在使用，导致王女士的手机信号出现了暂时的消失（就像QQ被异地登陆，你的QQ会被迫下线）。转账结束后，他们取出手机卡，王女士的手机信号又恢复了正常。

民警在杨某的住处查获了大批假身份证，目前，他们已涉嫌盗窃罪被渝北警方刑事拘留，案件深挖及追赃工作正在进行中。

过程解析

今年9月，长沙警方在侦办多起类似案件时发现了类似这种复制手机卡的新型智能犯罪手段。长沙的黄先生被转走了12万余元。

今年5月，长沙的小刘被好友王某借走了身份证后，也被复制了手机卡，被取走了15000元。

漏洞究竟在哪里？

　支付宝“快捷支付”功能

可以绕开银行卡密码

支付宝本来是个好东西，用起来很方便。作为“第三方担保交易模式”，大家使用很广，一般都绑定了银行卡，方便随时转钱到账进行支付。

支付宝“快捷支付”是一种方便、快速的支付方式，免去了开通银行卡网上银行功能的麻烦。用户通过网络购买商品时，每次付款时只需输入第三方支付账户的支付密码和手机校验码就能完成付款。

目前，大多数银行的银行卡都可以开通这项功能。有些银行甚至在一些小额交易中，连动态密码都不需要，直接输入支付宝密码就可以。

在使用快捷支付功能交易时，在一定限额范围内，只需要提供支付宝账号的支付密码，即可划走其绑定银行卡里的钱，完成交易。即使修改了银行卡密码，也不影响支付宝账户付款操作。“快捷支付”的限额各家银行规定不同，比如工行规定：转账到支付宝的限额：单笔5000元、每日5000元、月累计5万元。限额无法提升。农行的限额是单笔1000元，每日限额3000元。

交易过程中，虽然有动态短信验证，但有了受害人的手机号码在手，这些都已形同虚设。

手机号码+身份证号

就可重置你的支付宝密码

本报今年9月25号23版做过一个实验（感兴趣的读者可以查看本报电子版），探究了“和支付宝绑定了的手机被别人捡到，会不会泄露机主的支付宝账户？”

实验结果发现，如果只拥有失主的手机，不知道TA的身份证号，无法获得支付宝密码。但是，一旦通过某些渠道掌握了失主的身份证号，用手机号码+身份证号，只需2条短信验证，就可以重设支付宝密码。

手机丢失了，手机银行安全吗？

现在智能手机如此普及，如果你开通了手机银行，或安装了支付宝钱包APP，你的手机如果弄丢，手机银行安全吗？

一般来说，手机银行也像网上银行一样分为大众版和专业版，大众版只具备查询功能，专业版则可以理财和转账。

“手机丢了怎么办？”大学生小李坦言已经丢失了三部手机，账户还能安全吗？银行多采用了电子银行口令卡来保护用户的安全。 建行手机银行每次退出后，手机内存中关于卡号、密码等关键信息将自动清除，不会因为手机丢失而影响客户的资金安全。 工行采用了电子银行口令卡、静态密码、限额控制等多重手段保证手机银行（WAP）的安全。中行手机银行系统将自动验证客户当前使用的手机号码与签约手机号码是否相同，不一致就无法成功登录。

不过，所有这些的前提是，使用者手机银行的账户名和密码没被泄露。

手机无端停机或失效赶紧到营业厅查询原因换手机号时要与网银、支付宝等解除绑定。

我们整理了下面一些使用支付宝时增加安全性的注意事项：

1.网上支付时尽量选择直接跳转到网上银行支付，不使用“快捷支付”

2.强烈建议使用邮箱而不是手机号码注册支付宝（手机号码注册的意味着手机号一定能登录，只要拿到你手机的人都能修改密码）

3.已经绑定手机的不要开启手机号码登录功能（否则同样只要拿到手机就能修改密码）

4.登录密码设置成强口令（大小写字母数字符号组合，12位以上）

5.支付宝账户不要存太多钱，最好交易时再充值

6.如果实在不放心、不嫌麻烦、不缺钱那可以买个支付宝宝令，宝令会在确认支付时增加一个动态的二次验证

民警还提醒支付宝用户，一旦遇到无端莫名的手机停机或手机卡失效时，赶紧打支付宝客服热线95188冻结你的账号，到营业厅查询原因，捆绑银行卡的市民，要将手机银行名下的账户先行挂失，以保证资金安全；换手机号也要及时将旧手机号与网银、支付宝等解除绑定；切勿向他人提供自己的网银账号、密码和动态口令，不要委托他人管理操作基金、股票、保险等资金账户。

要时常更新杀毒软件，不能随便点击他人发来的链接，要保管好卡号、密码。最后，要注意网上银行使用中系统的提示。尽量不要在公共场所使用网上银行，使用完毕后应该正确退出网上银行，不要使用电脑自动记忆功能。

今年3月12日，支付宝宣布即日起针对实名认证用户发生的小额风险推出24小时极速补偿措施。极速补偿的要求是实名认证，诚信记录良好。如果因由账户被盗造成资金损失，经审核满足余额支付保障或快捷支付全额补偿标准，将向用户补偿全部或部分被盗款项。

突然几个小时手机没信号去营业厅看看是否手机卡被复制了。

1 个人身份信息在网上泄露

2 假身份证就可能“复制”一张手机卡

3 2条短信就能重置支付宝密码

4 银行卡钱被转走不需输入银行卡密码