你是怎么掉進網上支付黑洞的?

盜取賬號、密碼手法一一揭秘，專家表示識破騙子手法一點不難

羊城晚報記者 劉薇

去年底的互聯網大規模資料泄露事件后遺癥漸顯。3月20 日，當當網宣布，于月19 日至21 日緊急凍結該網所有賬戶的余額及禮品卡， 原因就是個別消費者賬戶出現被盜、余額被盜用等情況， 懷疑和去年底的數據泄露有關。當當網稱，國內不少B2C 網站也面臨著用戶數據泄露的風險。支付寶方面則表示， 支付賬戶相當于銀行賬戶， 用戶一定要將其安全級別提高到和銀行卡一樣的高度。

羊城晚報記者請支付寶的安全專家為網購一族們搜羅了一些網購時常見的騙局和案例，專家表示，識破騙子手法其實一點也不難。

手法一：木馬

經典案例： 最近的兩筆交易讓張女士百思不得其解， 明明是付了錢，卻還是“等待買家付款”。聯系賣家，說錢還沒有收到，查看網上銀行消費記錄，錢卻已匯出。在民警和有關工作人員調查下，發現原來問題出在幾天前的一筆交易上，當時張女士在與賣家溝通時，賣家通過QQ 發給了她一個名為“寶貝詳情” 的文件，而這個文件是一個病毒文件。張女士電腦中了病毒，在她使用瀏覽器到網銀付款的時候病毒發作，更改了瀏覽器的信息，將收款賬戶改為另一個支付平臺，致金錢受損。

安全專家提醒

支付環境是否安全， 可遵照以下幾點確認：

電腦環境安全保證。建議使用正版操作系統、正版殺毒軟件并及時更新病毒庫、穩定瀏覽器， 使用正規的第三方支付平臺進行支付;樹立網絡安全意識。不接受陌生文件， 不點開不明鏈接， 不同網站用戶名與密碼做好區分， 網絡密碼不要放在電腦內， 最好使用同一臺電腦進行網絡支付等;支付基礎安全。在資金賬戶使用“數字+英文+符號”的高強度密碼、分別設置登錄與支付密碼， 同時注意網銀的密碼安全;建議用網購網站的專用聊天工具溝通。在使用支付寶時建議安裝數字證書、手機驗證等免費安全產品，可保障萬一密碼被盜， 也能使資金不損失。

手法二：盜取校驗碼

經典案例一：半個月前，小陳想充話費， 便在搜索引擎輸入話費充值，搜索到一家折扣力度很大的賣家。賣家在QQ 上說因為要改價格，就要小陳接收鏈接。小陳打開鏈接，緊接著輸入支付寶賬戶名、登錄密碼、支付密碼，在最后一步，卻彈出了“系統升級，無法支付”的對話框。

就在這時手機來了短信， 是支付寶的確認信息： “您申請取消數字證書，校驗碼：123456。”正疑惑著電話就響了，對方自稱是“客服小二”，說賬戶存在安全問題，需要小陳報出剛剛接收到的手機校驗碼，小陳以前撥打過支付寶客服熱線， 一看來電顯示，確實是客服電話沒錯，就把校驗碼報給了對方。

掛掉了電話， 小陳正打算繼續充值，突然覺得有點兒不對勁，于是趕緊查看賬戶，結果賬戶里的余額全沒了!

在工作人員幫助下小陳才知道，原來自己連中兩招。第一招釣魚鏈接， 賣家給小陳發的鏈接其實就是事先準備好的釣魚網站，小陳輸入的信息都會被騙子獲取，小陳的賬戶就已經被盜了。但是由于小陳申請了數字證書，所以騙子暫時無法盜走支付寶賬戶里的資金。所以第二招扮演假客服，套取校驗碼。原來騙子利用某種軟件，把來電顯示更改為支付寶客服熱線的號碼，又自稱是“客服小二“，騙取了小陳的信任。而校驗碼正是安全產品數字證書在保護賬戶時發送到用戶手機上的6 位數字， 它如同密碼一樣用于保護賬戶的安全。泄露了校驗碼，就卸載了數字證書，所以小陳才遭受了損失。

經典案例二： 廣州媽媽網用戶發帖稱， 自己遭遇支付寶新型騙局，呼吁大家一定要小心。“當你的支付寶郵箱收到郵件，說支付寶被監管，同進客服收到客人說無法付款的信息，還截圖出來，然后你就會直接相信那個郵件，按提示解除‘監管’，鏈接打開， 很自然你要輸入登錄密碼、支付密碼，然后輸入手機驗證碼，全完了。”

記者看到pototo 給出的截圖顯示，首先客服收到騙子“買家”提示，稱無法付款，還附上截圖，接著郵箱又收到郵件稱可解除監管，并有一個鏈接。如果此時點進去，騙局也就開始了。先是登錄密碼，接著是支付密碼泄露，當輸入頁面驗證碼后，騙子就申請了用戶的數字證書，用戶收到手機驗證碼后輸入，騙子也就安裝了用戶的數字證書，就可以大搖大擺地將賬戶余額盜取了。

安全專家提醒

數字證書是支付寶提供的一種免費安全措施，只要將證書下載在電腦里，那么就默認這臺電腦可以完成支付，沒有證書的其他電腦是沒有辦法動用賬戶資金的，數字證書可同時安裝在多部電腦上，但必須是要用戶綁定手機號輸入動態驗證碼才可以申請的，因此保護好支付寶賬戶、登錄密碼、支付密碼、手機驗證碼就顯得至關重要。其實要做到這一點很簡單，就是不要隨便點擊不明鏈接，防范釣魚網站，認清支付寶的正規網址。有網友就支招： “每次付款前都要看清楚網址， 即使網頁模仿得再相似，騙子讓你點擊的頁面網址肯定不會是結尾的。大家養成檢查網址的習慣，就不怕了。”

支付寶方面提醒說， 正規的第三方支付平臺工作人員，以及有誠信的賣家在聯系用戶時，是不會索要賬戶密碼信息的。當對方試圖詢問密碼、手機校驗碼等信息時，就一定要提高警惕，千萬不要透露。

本文來自:網絡