你是怎么掉进网上支付黑洞的?

盗取账号、密码手法一一揭秘，专家表示识破骗子手法一点不难

羊城晚报记者 刘薇

去年底的互联网大规模资料泄露事件后遗症渐显。3月20 日，当当网宣布，于月19 日至21 日紧急冻结该网所有账户的余额及礼品卡， 原因就是个别消费者账户出现被盗、余额被盗用等情况， 怀疑和去年底的数据泄露有关。当当网称，国内不少B2C 网站也面临着用户数据泄露的风险。支付宝方面则表示， 支付账户相当于银行账户， 用户一定要将其安全级别提高到和银行卡一样的高度。

羊城晚报记者请支付宝的安全专家为网购一族们搜罗了一些网购时常见的骗局和案例，专家表示，识破骗子手法其实一点也不难。

手法一：木马

经典案例： 最近的两笔交易让张女士百思不得其解， 明明是付了钱，却还是“等待买家付款”。联系卖家，说钱还没有收到，查看网上银行消费记录，钱却已汇出。在民警和有关工作人员调查下，发现原来问题出在几天前的一笔交易上，当时张女士在与卖家沟通时，卖家通过QQ 发给了她一个名为“宝贝详情” 的文件，而这个文件是一个病毒文件。张女士电脑中了病毒，在她使用浏览器到网银付款的时候病毒发作，更改了浏览器的信息，将收款账户改为另一个支付平台，致金钱受损。

安全专家提醒

支付环境是否安全， 可遵照以下几点确认：

电脑环境安全保证。建议使用正版操作系统、正版杀毒软件并及时更新病毒库、稳定浏览器， 使用正规的第三方支付平台进行支付;树立网络安全意识。不接受陌生文件， 不点开不明链接， 不同网站用户名与密码做好区分， 网络密码不要放在电脑内， 最好使用同一台电脑进行网络支付等;支付基础安全。在资金账户使用“数字+英文+符号”的高强度密码、分别设置登录与支付密码， 同时注意网银的密码安全;建议用网购网站的专用聊天工具沟通。在使用支付宝时建议安装数字证书、手机验证等免费安全产品，可保障万一密码被盗， 也能使资金不损失。

手法二：盗取校验码

经典案例一：半个月前，小陈想充话费， 便在搜索引擎输入话费充值，搜索到一家折扣力度很大的卖家。卖家在QQ 上说因为要改价格，就要小陈接收链接。小陈打开链接，紧接着输入支付宝账户名、登录密码、支付密码，在最后一步，却弹出了“系统升级，无法支付”的对话框。

就在这时手机来了短信， 是支付宝的确认信息： “您申请取消数字证书，校验码：123456。”正疑惑着电话就响了，对方自称是“客服小二”，说账户存在安全问题，需要小陈报出刚刚接收到的手机校验码，小陈以前拨打过支付宝客服热线， 一看来电显示，确实是客服电话没错，就把校验码报给了对方。

挂掉了电话， 小陈正打算继续充值，突然觉得有点儿不对劲，于是赶紧查看账户，结果账户里的余额全没了!

在工作人员帮助下小陈才知道，原来自己连中两招。第一招钓鱼链接， 卖家给小陈发的链接其实就是事先准备好的钓鱼网站，小陈输入的信息都会被骗子获取，小陈的账户就已经被盗了。但是由于小陈申请了数字证书，所以骗子暂时无法盗走支付宝账户里的资金。所以第二招扮演假客服，套取校验码。原来骗子利用某种软件，把来电显示更改为支付宝客服热线的号码，又自称是“客服小二“，骗取了小陈的信任。而校验码正是安全产品数字证书在保护账户时发送到用户手机上的6 位数字， 它如同密码一样用于保护账户的安全。泄露了校验码，就卸载了数字证书，所以小陈才遭受了损失。

经典案例二： 广州妈妈网用户发帖称， 自己遭遇支付宝新型骗局，呼吁大家一定要小心。“当你的支付宝邮箱收到邮件，说支付宝被监管，同进客服收到客人说无法付款的信息，还截图出来，然后你就会直接相信那个邮件，按提示解除‘监管’，链接打开， 很自然你要输入登录密码、支付密码，然后输入手机验证码，全完了。”

记者看到pototo 给出的截图显示，首先客服收到骗子“买家”提示，称无法付款，还附上截图，接着邮箱又收到邮件称可解除监管，并有一个链接。如果此时点进去，骗局也就开始了。先是登录密码，接着是支付密码泄露，当输入页面验证码后，骗子就申请了用户的数字证书，用户收到手机验证码后输入，骗子也就安装了用户的数字证书，就可以大摇大摆地将账户余额盗取了。

安全专家提醒

数字证书是支付宝提供的一种免费安全措施，只要将证书下载在电脑里，那么就默认这台电脑可以完成支付，没有证书的其他电脑是没有办法动用账户资金的，数字证书可同时安装在多部电脑上，但必须是要用户绑定手机号输入动态验证码才可以申请的，因此保护好支付宝账户、登录密码、支付密码、手机验证码就显得至关重要。其实要做到这一点很简单，就是不要随便点击不明链接，防范钓鱼网站，认清支付宝的正规网址。有网友就支招： “每次付款前都要看清楚网址， 即使网页模仿得再相似，骗子让你点击的页面网址肯定不会是结尾的。大家养成检查网址的习惯，就不怕了。”

支付宝方面提醒说， 正规的第三方支付平台工作人员，以及有诚信的卖家在联系用户时，是不会索要账户密码信息的。当对方试图询问密码、手机校验码等信息时，就一定要提高警惕，千万不要透露。

本文来自:网络