网络攻击实例：利用密码找回漏洞破解支付宝账号过程；隐私安全不容忽视
网络攻击实例：利用密码找回漏洞破解支付宝账号过程；隐私安全不容忽视
围观2565次
编辑日期： 字体：
今天你out了吗？趣分享，一定不会让你错过的微信好文精选！
请记住本站域名 (百度搜索“趣分享”即可)
写在前面：现在网络安全日益重要，尤其是个人信息保护；也许一个疏忽就被攻击
此漏洞已经向阿里报告，他们速度也很迅速，马上修改了漏洞，增加了校验过程，却回复说漏洞不存在， 鄙视；太丢大厂家脸面了！
—————————————————————
现在个人信息泄露很常见，经常有电话，邮箱等信息泄露；黑客们如何利用这些信息了？如果只是发发垃圾邮件，垃圾短信，那你就大意了
如下看如何利用泄露信息来破解支付宝，此案例需要一定的偶然性，就是必须要知道对方的手机号码和常用的银行卡号
网络攻击实例：利用密码找回漏洞破解支付宝账号过程；说明隐私安全不容忽视
攻击背景：
一个90后网友网上爆料，说被一个假冒空姐的人在淘宝上骗了几千；通过微信沟通联系，知道其微博账号；但是在交易的时候，对方要求对方不走淘宝交易，而是直接转账到他银行卡，
事后，转账之后，发觉被骗，微信被加入黑名单，微博删干净了， 手机号关机（无法打通）
那么问题来了，这个该如何讨回被骗的钱了？ 报警吧，金额也不大，估计讨回希望不大，只好通过网上来找高手讨回资金。
已有信息：一个手机号（185开头），一个对方农业银行卡
目标：要求获得其个人信息或深入信息
难度还是很大的，因为骗子打着名义淘宝卖包，所以一定有店铺，有支付宝
因此尝试破解其支付宝开始
支付宝网站打开，因为已经有其手机账号，尝试通过忘记密码来探测；（他的支付宝账号果然就是手机号码）
在忘记密码界面，选择人工服务；此时提示输入邮箱接收材料；怎么办，大喜，赶紧输入自己邮箱~
注意：这是第一个漏洞，随便谁邮箱都可以，不限制，就给了机会，当然这个也有一定道理，因为有人自己邮箱也忘记了，让用户输入新邮箱也是可以理解
打开邮箱，支付宝发来一个邮件，点击需要填3个问题和手机验证码，看起来无懈可击，实际不然
手机验证码肯定搞不定，页面也直接提示非必须，那还管个屁， 不填
三个问题；
1：绑定快捷支付的银行卡号
2：最近使用的支付银行名称
3：自己的身份证号，
看这个3个问题，前2个问题，实际上就是一个问题，因为有一个农业银行卡信息，就拿这个卡输进去
第三个问题，身份证号码不知道，不填，直接提交
过了不久，支付包人工审核很快，居然通过了，通过邮件发了重置密码的链接，那还等啥，赶紧点击，重置密码，搞定！
注意：这个漏洞是不验证身份证号码，或者说三个问题答对1，2个即可，造成漏洞；实际上只回答了一个问题，哪个银行，卡号是啥
结果：顺利重置密码，登陆支付宝，查询所有交易，有收件人名字，地址，一切搞定
下载的交易记录
还是那句话，安全，保密尤其重要
正常修改漏洞建议
应该忘记密码的时候，默认要回复邮件到支付宝注册邮箱，然后如果要换邮箱，也可以，应该要进行身份证验证；后面的回复问题环节中，身份证必须要填写，不能忽略，更为严谨的上传身份证照片
接下来如何对付骗子
从支付宝的交易记录中，可以看到她有很多的交易记录，然后直接找到他的收货地址（家庭地址），将支付宝首页记录，以及交易记录，打印下来，快递到其家庭地址，申明已经获取其所有信息，如果不还钱，需要承担法律责任。
结果骗子果然心虚，立刻转账了所骗金额，说明其可能也是个初犯，而不是彻彻底底的大骗子。
上报淘宝后居然说漏洞不存在，却偷偷改了
通过阿里的漏洞上报平台，上报漏洞之后，一周时间都在确认漏洞，一周之后却说此漏洞不存在，然后再看看支付宝的密码找回页面，已经全改了，现在的流程是这样：
可以看到，必须要手机校验码 + 身份证号码来重置密码， 或者采用人工方式，人工方式需要上传身份证照片。
这样的安全性则大大提高。
以下是一些针对支付宝诈骗的新骗术，谨防上当
————————————–
骗子盯上快捷支付 绕开银行卡和密码轻松盗刷
找人代办信用卡，留给银行的是代办人的电话
办卡人要求先存5万元作“财产证明”，结果存款被人用支付宝花光了
张女士还没有找到稳定的工作，想自己创业又缺少资金，于是想通过信用卡透支来“借钱”。听说有人专门代办信用卡业务，她就电话联系了对方，说想办一张额度超过2万元的信用卡。
对方详细询问了她的一些情况，知道她没有工作，对方告诉张女士:“这样有点难哦，你要先去办一张储蓄卡，然后往里面存5万块钱作为财产证明，银行才肯给你发卡。”
张女士找亲友东拼西凑弄来5万元，按照代办人的指示去银行办了一张储蓄卡。在填写办卡人的电话号码时，她根据代办人的要求留下了对方的手机号码。为什么张女士办银行卡，要留别人的电话号码呢？对这个奇怪的要求，对方的解释是:“银行会进行资质审查，电话打给我，我解释起来才不会露陷。”
感觉对方说的有理，张女士也就没多想。申请表交了半个月，还没回音，她打电话给代办人，却发现联系不上了。她赶紧去银行查那张储蓄卡，发现存的5万元都没了。
明明银行卡和密码都在自己手里，怎么钱就没了呢？张女士查询了资金流向，发现卡里的钱都转到支付卡业务，随后通过支付宝购买了大批容易脱手的物品，不到一天时间就花光了。
“好友”说要借卡“收”钱，要了手机验证码
卡上的钱款不进反出，原来是骗子盗用朋友微信套来信息通过快捷支付转账
和张女士一样，林先生的银行卡和密码也保管得好好的，只不过“好友”想借他的卡接受一笔转账，要了他的手机验证码。结果不仅没有钱转到他的卡上，反而“吸”走了他卡里的余额。
林先生说，“好友”是在微信上给他留言的，说有个国外的客户要转账，但自己的银行卡挂失了，所以想让客户把这笔钱先转到林先生的账户上。因为是朋友，而且只是借卡转个账，林先生爽快地报上了卡号。
“好友”有了林先生的银行账号，又说要他的身份证号。林先生觉得奇怪，对方解释说是国外银行办理转账业务要求比较严格，再说有了身份证也能避免转错对象。
没多久，林先生的手机接到一条短信，显示的是“验证码”。“好友”在微信中告诉他，这也是国外银行的规定，收款人要确认“验证码”后才能转账。林先生虽然有些疑惑，但因为是自己信任的“好友”也就没多想，把这个“验证码”也告诉了对方。
林先生的手机开通有银行存款变动通知业务，可是，手机发来的信息，不是账户转入了多少钱，而是提醒账户上的980元存款正被转出。
林先生吃了一惊，来不及微信上联系朋友，直接打电话过去询问。“我没有给你发微信借卡转账啊，我的微信号前几天被盗了。”朋友这一句话，让林先生明白被骗了。
只要一个“验证码”，你的钱就成了他的
验证码发送时明确显示了用途，只要多个心眼认真核查就能避免被骗
没有银行卡和密码，骗子是怎么把别人卡里的钱转走的呢？记者尝试了用支付宝快捷支付系统“掏”钱，全过程仅需5分钟。
首先，记者用手机注册了支付宝的手机客户端。登录后，窗口跳出来的页面显示输入绑定的银行卡。记者将家人的一张银行卡作为“对象”，输入卡号后，窗口跳出的页面还要求填写持卡人的姓名、身份证号码和手机号码（为银行预留的验证手机号）。
记者依次填完后，预留号码的那部手机很快就收到了支付宝客户端发送的一条验证短信。输入验证码，这张银行卡也就被支付宝的快捷支付“收入囊中”了。在快捷支付的业务中，有“卡对卡”转账，记者根据系统提示填上自己的银行卡信息，填上转账金额，输入支付宝转账密码后，不到两分钟这笔钱就到了记者的账上。
从开通支付宝功能到完成转账，全过程仅5分钟。记者留意到，发送的验证短信中明确说明了“此验证码用于开通支付宝手机客户端业务”，也就是说，如果是你的手机收到验证码，只要不告诉别人，卡里的钱还是保得住的。
支付宝快捷支付的转账金额限定为每笔最高5万元，但并没有限定每日可转账的次数。骗子手上只要有你的银行卡信息和身份证信息，再加上那个验证号码，就可以轻松掏光你卡里的钱。
特色微信公众号：以史为镜 ,欢迎扫码关注
史是明镜，鉴照往事；史是事实，照亮后人
专注于搜集整理中国古代 近代历史 人物解读,事件追踪；带你走进鲜为人知的历史世界…
本文固定链接:
分享是一种美德，如果觉得不错点击如下图标分享
关注微信：
您可能还会对这些文章感兴趣！股票/基金&
快捷支付为何不输银行卡密码？
作者：徐晓风
　　据《广州日报》、《东南快报》等媒体日前报道，近期有用户因为手机木马或被人补办手机卡导致快捷支付被盗。有用户发出这样的疑问：同样是从里付钱，为啥网上快捷支付不用输卡的取款密码，而是直接输网上支付平台网络支付密码？业内专家解释说，网上支付不用输入银行卡取款密码，这是基本的安全常识，根本目的还是为了隔绝网上支付的风险。　　目前，快捷支付已经成为网民网上购物的主流支付方式，支付宝、银联、财付通等主要支付公司都推出了这项服务。包括近期很多人关注的微信支付，也是财付通提供的快捷支付在微信上的应用。不过，虽然用户使用广泛，但对于快捷支付及其安全方面措施，很多人却一直搞不明白：为什么快捷支付不用输入银行卡取款密码？　　专家表示，目前无论是国际上网络支付还是国内主流银行的网上银行登录或支付，均需要单独设定网络支付密码，不允许直接采用银行卡POS消费密码，这正是为了隔绝网络支付业务风险，避免因为网络钓鱼等引起的银行卡伪卡交易风险。“简单来说，在网络时代，银行卡内的资金需要多维度的保护。6位数的纯数字取款密码适合线下，但用在上安全强度远远不够，仅仅靠一个取款密码保护资金安全的时代早就过去了。”　　支付宝方面对记者表示，网上支付不需要输入银行卡的取款密码，但同样有金融级的支付宝支付密码来保障安全。此外，快捷支付在用户的授权下还会将支付所需的信息和银行进行严格的校验，只有通过才能进行支付。这种信息校验过程采用硬件加密处理，采用与银行的特殊线路传输，提高了防篡改和防盗取的能力。而支付宝的整体安全体系还为快捷支付提供7*24小时不间断的交易风险监控。　　安全专家表示，各家支付公司和银行对于网上支付都有完善的安全体系，而用户现在发生风险绝大部分都是因为木马和钓鱼欺诈，也就是说采取欺骗的方式骗取用户的账户密码或校验码等信息，从而实施欺诈。随着手机社交聊天工具的普及，手机木马伪装成图片或者链接通过微信、陌陌等聊天工具传播已经成为木马案件新的趋势。对此，他建议用手机聊天时一定要提高警惕，陌生人的文件和链接千万不能点。 徐晓风
08/13 07:0008/08 02:54
暂无专家推荐本文
同时转发到我的微博
将自动提交到和讯看点，
请输入您的观点并提交。
请输入您的观点 168字以内
同时转发到我的微博置顶我的观点
银行精品推荐
特色数据库：
精品栏目：
每日要闻推荐
社区精华推荐
精彩专题图鉴
　　【免责声明】本文仅代表作者本人观点，与和讯网无关。和讯网站对文中陈述、观点判断保持中立，不对所包含内容的准确性、可靠性或完整性提供任何明示或暗示的保证。请读者仅作参考，并请自行承担全部责任。