你在不同网站设的用户名和密码一样吗 有人靠小网站套取这些信息入侵支付宝-科技频道-金鱼财经网

商报记者 戚祥浩 李杨慈

5名嫌犯，最高学历仅为大专，他们之间的一些人，曾长期依靠冒充富婆重金征婚、生子等土得掉渣的手段骗钱。然而，这群不见得手段有多高明的骗子，却打起了中国最大的第三方支付平台支付宝的主意，并且还骗到不少钱。

昨天，龙湾警方称，他们联手支付宝，破获了这个盗窃支付宝套现系列案件。短短数月，这些不法分子居然得手了近百次，他们的主要手段是利用从一些小网站上获取的登录名和密码，然后，将这些登录名和密码一个个拿到支付宝上测试。

“一些用户习惯性设置相同登录方式，给了不法分子可乘之机。”警方说。

账户内一万多元被人拿去买打火机

今年2月7日晚，住在龙湾永中的王女士在家中准备上支付宝转钱时，发现余额宝账户少了不少钱。查看了一下明细，其中，12805元竟然在2月6日2时2分支付了一笔神秘订单—10个ZIPPO打火机。

肯定被盗号了，王女士惊出了一身汗，立即打电话给支付宝客服反映情况。不久后，支付宝客服经过核实，认为王女士的这种情况符合“全额赔付”的条件，向她赔偿了12805元。

在后来的调查中，警方称，王女士曾在一个小网站上登录过，使用的用户名和密码，正是她支付宝的登录名和密码。

相对而言，小网站的安全防范能力弱些。后来，该小网站遭受黑客攻击，大量用户名和密码泄露，王女士的用户名和密码也在其中。

一支每天反复进行登录测试的团队

王女士并非唯一一个受害者。

今年3月初，龙湾公安分局接到了支付宝公司的报案。警方联手支付宝安全人员通过侦查，初步确认作案地点位于海南海口。

经过细致有力侦查，专案组民警于4月23日在海南海口市琼山区一出租房抓获犯罪嫌疑人陈某、许某。此时，两人正对数百条用户信息在支付宝网站上进行登录测试。随后，同案犯林某、邓某、魏某相继落网。

在没认识林某、邓某、魏某前，陈某和许某两人长期在网上冒充富婆以征婚、生子为诱饵实施诈骗。

五人团伙中，魏某是技术“顾问”，他和邓某负责培训作案手段。

警方透露，从2014年年初开始，5名嫌疑人便开始以木马软件盗取他人用户信息，或购买其他网站的相关用户信息，然后通过软件在支付宝网站上进行登录测试。

“他们有时一口气买来数万条用户信息，软件在进行登录测试同时，也会测试账户内余额。”警方进一步介绍，在筛选出有价值的账户后，他们便着手实施洗钱套现。

警方称，魏某等人在一些天猫卖家QQ群内发出合作广告，用账号向特定的卖家进行虚拟购物，卖家不发货，买家确认收货，然后卖家将70%交易额返回给魏某等人的实际账户。为进一步迷惑警方视线，魏某等人还千方百计利用赃款购买充值卡等，然后再将充值卡变现。

“他们之所以不直接采取转账，目的就是不留痕迹。”警方说，配合魏某等人作案的天猫卖家也已经涉嫌犯罪，他们将予以打击。

据悉，在短短数月内，该团伙实施盗窃行为近百起。同时该团伙还兼顾冒充富婆以征婚、生子为诱饵实施诈骗40余起，该团伙共成功作案140余起，非法获利近10万元，其中近7万元来自支付宝犯罪，目前具体犯罪金额还在进一步追查中。

支付宝方建议遇盗取问题先致电客服95188

截至目前，具体有多少个支付宝账户被盗？昨天，支付宝公关部工作人员在接受记者采访时，并没有透露，“相对每天三四千万笔交易，用户账户上钱财被盗的几率还是很小的”。

如果用户遇到账户上金额被盗该如何处理？支付宝方面昨天再次强调，一切被盗的损失都会由支付宝来承担。他们通过跟保险（放心保）公司的合作，能为用户可能发生的风险，提供无理由全额赔付的保障，基于这种保障，可以确保没有任何一个用户因为账户被盗用发生实际损失。如果市民发现支付宝、余额宝等账户上钱财被盗，最好第一时间拨打支付宝95188客户热线，只要上网记录、支付宝后台交付记录等信息可以证明不是用户本人亲自输入了用户名和密码完成支付，支付宝都会给予赔偿。

警方提醒说，网民要掌握各种网络金融理财产品的官方客服联系方式，对通过百度搜索出的官方网站或客服电话等信息保持审慎态度；不要点击陌生人发送的链接、压缩包，特别不明来源的后缀为.apk的文件；网民在出售或外借电脑时，务必清理电脑中的个人隐私内容，特别是常用的账号和密码。同时在日常使用中，勿保存网银、支付宝等账号密码；一旦电脑中木马，应立即在安全的电脑上（不要在已中木马的电脑上）修改账户密码，同时致电相关客服确认安全。

不法分子盗号主要通过几种途径

据该名工作人员介绍，目前有关“支付宝”的网络电信诈骗、盗窃手段常见的有两种类型四种途径。

一、攻击小网站获取账户信息

不少用户在不同网络上网，喜欢用同一套账户信息登录。一旦一些安全性不高小网站被不法分子攻击，大量账号密码泄露，就有可能被他们用来测试支付宝，也是文中提到的魏某的方式。

二、植入盗号木马获取信息

伪装微信好友：不法分子通过微信获取用户昵称和头像，再伪装成该用户发一些带有木马的apk文件、图片、网址，植入对方手机后，再获取信息和拦截短信验证码。

伪装卖家钓鱼：犯罪嫌疑人先以“实物图”、“库存表”、钓鱼链接等名义通过QQ、淘宝旺旺等工具将包含木马病毒的压缩文件发送给网购买家，并诱导受害人打开压缩包，激活木马，导致支付途径被转移，“劫持”金额转入嫌疑人账户，或直接操控事主手机实施支付宝诈骗。

0