银行卡被他人支付宝账号绑定并盗刷,这是怎么做到的?

11.07.2018  08:15

近日,河南郑州的王先生向澎湃质量报告投诉平台(https://www.thepaper.cn/consumersComplaint.jsp)反映,他突然收到三条银行扣款短信,显示自己的工商银行卡被先后转走了1500、500、1000元。考虑到过几天就要还房贷,王先生十分着急。

支付宝客服随后向王先生证实,他的银行卡被另一个手机号注册的支付宝绑定,并以“发红包”的形式转走共计3000元。

银行卡在自己手里,却被人通过陌生支付宝账户连续三次盗刷。这是什么样的操作?

7月2日,王先生接连收到三条工商银行的扣款短信,随后被证实为陌生支付宝账号盗刷。受访者供图支付宝:用户自行泄露了各种个人信息

7月9日,蚂蚁金服公关部的一名徐姓负责人介绍称,支付宝绑定银行卡需要本人身份证和银行卡信息,以及在银行预留手机收到的短信验证码,经判定,王先生自行泄漏上述信息,违反了公司对账户使用的有关规定,因此支付宝无法对其进行资金追回或理赔。

然而,王先生再三回忆,却想不出自己如何泄漏了这些个人信息。同时他表示困惑不已:“现在手机号都是实名制,为什么一个陌生手机号(注册的支付宝),就能绑定上我的身份信息(银行卡),这属于谁的疏忽?怎么能说通呢?

考虑到隐私保护问题,该负责人表示,支付宝无法根据王先生的诉求提供该手机号的全号码:“我们不能百分之百确认投诉的真实性,这些信息只能在警方立案调查的情况下才能提供。

上述徐姓负责人也坦言,目前支付宝尚未与手机运营商合作,因此对于注册手机号码的真实身份信息,支付宝的确无法判定,会出现手机号户主与支付宝验证身份信息不一致的情况。

支付宝客服人员曾向记者介绍,同一用户身份信息(即同一张银行卡),共可绑定三个不同的支付宝账号。为了避免类似王先生的意外,客服人员建议可以用不同的手机号或邮箱先注册三个支付宝账号,“这样其他人再拿到(个人信息)也没有名额了”。

目前,支付宝已将该陌生支付宝账号与王先生银行卡解绑。王先生第一时间向居住地所在派出所报案,随后又被告知要向支付宝所属管辖地杭州报案。他告诉记者,希望警方尽快介入调查,查明事实真相。

支付宝决定不予理赔的短信。受访者供图。

银行预留手机收到的验证码怎么泄露的?

澎湃新闻记者做了一个测试,用朋友的手机号B注册一个支付宝账号,只需输入B号码收到的短信验证码即可完成注册。

随后,记者在这个新的支付宝账户上添加曾绑定在自己手机号A上的银行卡。点击“添加”后,页面需要输入本人银行卡上的姓名、银行卡号,并填写银行预留手机收到的短信验证码,其间不需要上传身份证照片,填写信息完毕后即可绑定成功后。

支付宝客服人员坦言,目前支付宝尚未与手机运营商合作,因此对于注册手机号码的真实身份信息,支付宝无法核实。只要支付宝账户能绑定上银行卡,“就基本是实名认证的账户了”。

上述流程中,除了各种个人银行卡信息,最关键一步就是要填写银行预留手机的短信验证码。

7月6日,工商银行客服告诉记者,同一用户可以预留的手机号数目没有限制。如果需要增加一个银行预留的手机号,可以由本人携带身份证、银行卡在银行柜台办理。

王先生咨询了工商银行和中国移动运营商,却并没有发现有人冒用他的身份更改过银行预留手机号,或注册过他名义下的手机号。

也就是说,即便身份证和银行卡信息泄露,如果有人要绑定王先生的银行卡,验证码仍会发送到王先生的手机上。

那么验证码为何会被他人获取?王先生表示自己也很费解。

但澎湃新闻检索发现,央视新闻曾报道,一些不法分子会向目标手机发送病毒链接,一旦目标手机点开链接,植入木马病毒程序后,手机可能无法再接受短信,验证码同时被拦截获取。另一种方法是通过特殊的改装设备对手机信号进行干扰,在特定范围内可以拦截银行卡验证码。报道提醒消费者,不要轻易点开或回复陌生号码的短信,如被盗刷,最好能马上解除所有与该手机相关联的网上支付绑定。

在北京京师律师事务所互联网金融事务部主任左胜高看来,银行卡或支付卡盗刷屡屡发生,银行和支付机构理应高度重视,正视存在的管理和技术问题,自查自纠并及时修补技术漏洞,适时进行相关技术的升级改造,确保用户信息安全和资金安全。

前5个月中央企业完成投资1.7万亿元 同比增长12.5%
  新华社北京7月3日电(记者王希)国务院国资委最新数据显示:2023年1至5月,中央企业完成投资1.新浪广东
农业农村部部署高温防御工作 落实抗旱保苗关键措施
  新华社北京7月3日电(记者于文静)据中国气象局新浪广东