V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
tonitech
V2EX  ›  程序员

刚刚我的支付宝被黑客盗刷,请问他们怎么实现的?

  •  
  •   tonitech ·
    tonitech · 2014-02-19 15:40:26 +08:00 · 12611 次点击
    这是一个创建于 3920 天前的主题,其中的信息可能已经有所发展或是发生改变。


    事情的经过是这样的:在2014年2月19日14:51:43的时候第一笔他刷了我50元,我收到了短信,感觉不对劲!于是登陆了发现根本不是我消费的,我感觉到CCAV报道的事情发生在我身上了,于是我果断改密码,改的过程中在2014年2月19日14:54:00的时候又被刷了一笔50元。那家伙开始变本加厉了!第三笔是100元,不过我幸好我改了密码,他输入了三次错误的密码,我的账号也无法登录了。最终我被刷了100元,找了支付宝客服,他们给我冻结了账号,说会给我赔的。

    我现在想问他怎么可以不用验证码就可以刷钱呢?说明他是在安全证书的环境下的啊,安全证书也要手机认证的啊,真是太蹊跷了!求大神解答。。。
    65 条回复    1970-01-01 08:00:00 +08:00
    thinkif
        1
    thinkif  
       2014-02-19 15:44:11 +08:00
    关注
    likexian
        2
    likexian  
       2014-02-19 15:45:28 +08:00
    手机客户端有个200以下免密码支付,不知道是不是这个
    tonitech
        3
    tonitech  
    OP
       2014-02-19 15:46:30 +08:00
    尼玛。。。图贴错了!!!吐血!!!
    andybest
        4
    andybest  
       2014-02-19 15:48:01 +08:00
    周围计算机小白也没出现过这种情况啊,
    确定不是密码泄漏导致的?(比如亲戚朋友之类的知道了你的密码)
    vking
        5
    vking  
       2014-02-19 15:48:14 +08:00 via Android
    @likexian 赞同+1
    momou
        6
    momou  
       2014-02-19 15:48:19 +08:00
    @tonitech 补上
    andybest
        7
    andybest  
       2014-02-19 15:48:46 +08:00
    他两笔50与最后一笔100分别是买了什么东西了?
    tonitech
        8
    tonitech  
    OP
       2014-02-19 15:49:15 +08:00
    @andybest 我觉得很可能是密码泄露,但是知道密码不应该就可以直接动里面的钱啊。
    cohsin
        9
    cohsin  
       2014-02-19 15:51:37 +08:00   ❤️ 1
    @tonitech 手机客户端可以。有登录密码就行。200以内免输支付密码。
    tonitech
        10
    tonitech  
    OP
       2014-02-19 15:52:07 +08:00
    @momou
    @andybest
    补图
    tonghuashuai
        11
    tonghuashuai  
       2014-02-19 15:53:07 +08:00
    我现在是每笔交易都需要手机验证,这样安全多了
    vking
        12
    vking  
       2014-02-19 15:53:43 +08:00 via Android
    @tonitech 买了什么东西?还是转账到其他账号?
    teavoid
        13
    teavoid  
       2014-02-19 15:54:56 +08:00   ❤️ 1
    @tonitech 我是很疑惑,为毛是这个图,哈哈哈
    tonitech
        14
    tonitech  
    OP
       2014-02-19 15:59:29 +08:00
    @vking
    @teavoid 是www.j1.com这个网站,什么华润集团的网上药店。。。
    tonitech
        15
    tonitech  
    OP
       2014-02-19 15:59:52 +08:00
    @teavoid 不小心发错了。。。要从微博复制url过来。。。
    momou
        16
    momou  
       2014-02-19 16:01:18 +08:00
    让这个网站查下谁收货?
    tonitech
        17
    tonitech  
    OP
       2014-02-19 16:02:02 +08:00
    @teavoid 我可不是水军和软妹。。。哈哈!
    tonitech
        18
    tonitech  
    OP
       2014-02-19 16:02:12 +08:00
    @momou 这就去
    soolby
        19
    soolby  
       2014-02-19 16:02:29 +08:00
    @tonitech 没看到这条评论之前我还在想“这尼玛,发个帖子也要找个配图。。。”
    kevinroot
        20
    kevinroot  
       2014-02-19 16:05:55 +08:00
    @soolby 哈哈,配图不错
    lsylsy2
        21
    lsylsy2  
       2014-02-19 16:08:42 +08:00
    @tonitech 不用想了,肯定是黑卡充手机话费了
    janxin
        22
    janxin  
       2014-02-19 16:11:20 +08:00
    第三笔是100元,不过我幸好我改了密码,他输入了三次错误的密码,我的账号也无法登录了。

    明显是楼主的密码被盗了
    tonitech
        23
    tonitech  
    OP
       2014-02-19 16:14:27 +08:00
    @lsylsy2 那个网站是www.t1.com啊。。。
    tonitech
        24
    tonitech  
    OP
       2014-02-19 16:14:41 +08:00
    @janxin 是的,密码肯定被知道了。。。
    binjoo
        25
    binjoo  
       2014-02-19 16:16:54 +08:00
    越方便,越不安全。。。
    master
        26
    master  
       2014-02-19 16:25:05 +08:00
    http://www.wooyun.org/bugs/wooyun-2010-051178

    http://www.weibo.com/1682454721/Ax9gnwzJQ

    淘宝确实承认业务流程导致存在认证的问题。

    不过记得支付宝处理帐号盗用基本上属实都是会先行赔偿,然后追偿是他们的事了
    marsorange
        27
    marsorange  
       2014-02-19 16:36:51 +08:00
    难道是前几天的漏洞? 太可怕了这个
    hzw
        28
    hzw  
       2014-02-19 16:46:59 +08:00
    支付宝打开安全中心 资金页面下有9个措施 楼主你点亮了几个啊
    我感觉稳一点的话 1-6还是要点亮的
    Linxing
        29
    Linxing  
       2014-02-19 16:49:42 +08:00
    昨晚还在知乎上看到关于这个漏洞的回答,据说这个漏洞存在很久了,没想到楼主这么衰...但是前晚还是昨晚就已经封堵了,所以楼主应该不是那个漏洞引起的,而是泄露了密码吧,你也提到了密码输错了三次,如果利用这个漏洞是不需要密码的吧...
    lusin
        30
    lusin  
       2014-02-19 16:50:59 +08:00
    支付宝比较恐怖的我感觉还是快捷支付,不需要银行的把关就能把钱付出去,支付宝还拼了命的推广他的快捷支付,不知是何用心
    lsylsy2
        31
    lsylsy2  
       2014-02-19 16:51:54 +08:00
    @tonitech 点开那个网站,右侧有手机充值
    tonitech
        32
    tonitech  
    OP
       2014-02-19 17:04:06 +08:00
    @hzw 我之前亮了6个啊,现在它把我的余额支付关闭了。。。这里面几个措施应该是有的加强安全有的存在风险的吧?
    MichaelYin
        33
    MichaelYin  
       2014-02-19 17:04:56 +08:00
    @lusin
    难道每次购物都用IE支付么?网银就一定安全了?

    顺便说一句,支付宝的赔付也是有限制的,我记得是只能赔多少以内,而且次数好像也有限制,记不清了。

    因为,天朝还有,骗支付宝赔付的人。。两个人合作故意帐号密码丢失。。。
    flynngao
        34
    flynngao  
       2014-02-19 18:15:19 +08:00
    作为支付宝人,已经反馈……lz请耐心等待
    tonitech
        35
    tonitech  
    OP
       2014-02-19 20:04:19 +08:00   ❤️ 1
    @flynngao 感谢感谢,很惭愧得告诉你,我的支付宝2005年注册的,那时候登陆密码和支付密码是可以一样的,我用了9年一直没改。。。现在出事了。。。
    xdeng
        36
    xdeng  
       2014-02-19 20:17:54 +08:00
    @tonitech 9年没改 太危险了
    yylzcom
        37
    yylzcom  
       2014-02-19 20:55:14 +08:00
    支付宝证书也被盗了?如果证书没有,也应该有短信验证啊,莫非楼主的手机也被动了手脚了?
    manoon
        38
    manoon  
       2014-02-19 21:01:05 +08:00
    @lusin 凡是拼了命推的东西,都需要我们坚决抵制(包括手机支付微信支付),好东西自然会有人涌上去。(个人观点)
    manoon
        39
    manoon  
       2014-02-19 21:03:22 +08:00
    而且我告诉楼主一个坏消息。最近好几个银行已经取消了“小额消费短信提醒功能”。
    如果刚好你用的是那几家银行,你就有可能是被盗刷了50*N 了。
    tonitech
        40
    tonitech  
    OP
       2014-02-19 21:04:35 +08:00
    @manoon 我的是余额宝被盗刷。。。哎,现在已经关闭余额支付功能了。。。
    tonitech
        41
    tonitech  
    OP
       2014-02-19 21:05:33 +08:00
    @yylzcom 我想是密码泄露吧,上面的朋友们已经说了,200以下免密码支付。。。
    nAODI
        42
    nAODI  
       2014-02-19 21:07:03 +08:00
    是第三方接口进去刷的吗?
    ericFork
        43
    ericFork  
       2014-02-19 21:23:35 +08:00
    @tonitech 那你这也太危险了,估计黑客输的时候都要笑的……
    ijophy
        44
    ijophy  
       2014-02-19 21:31:33 +08:00
    会赔偿的~~
    mahone3297
        45
    mahone3297  
       2014-02-19 21:43:26 +08:00
    好怕怕的样子。。。
    v2ex_user001
        46
    v2ex_user001  
       2014-02-19 22:55:54 +08:00 via iPad
    手机勿越狱
    9hills
        47
    9hills  
       2014-02-19 23:00:25 +08:00
    支付密码和登陆密码一样,密码泄露很正常。

    上次CSDN的密码泄露,我就用其中一个Gmail登入他的邮箱和支付宝。要是支付密码和登陆密码一样,呵呵。。

    不过没干坏事
    tonitech
        48
    tonitech  
    OP
       2014-02-19 23:06:34 +08:00
    @v2ex_user001 我有windows系列的。。。
    likuku
        49
    likuku  
       2014-02-19 23:07:33 +08:00
    「登陆密码和支付密码是可以一样的」…无语了。

    赔付嘛,可以在淘宝上直接买对应支付宝的额外保险,一年10块钱保费,支付宝盗刷最多可以赔1万。
    tonitech
        50
    tonitech  
    OP
       2014-02-19 23:08:31 +08:00
    @ericFork 肯定笑尿了,不过我改了密码他肯定很难受。。。
    likuku
        51
    likuku  
       2014-02-19 23:08:47 +08:00
    @tonitech 余额宝,「全额赔付」嘛?
    tonitech
        52
    tonitech  
    OP
       2014-02-19 23:12:41 +08:00
    @likuku 嗯嗯,客服说会赔付的,100块钱他们应该不会说什么。。。上次新闻看到的是6万多,那就完蛋了。。。
    likuku
        53
    likuku  
       2014-02-19 23:14:18 +08:00
    @likuku 「余额宝」和「支付宝余额」是两码事…前者是那个理财产品,声明「全额赔付」哦。
    ayang23
        54
    ayang23  
       2014-02-20 00:08:55 +08:00
    昨天淘宝号被盗了,收到骗子的电话,让给他QQ号和银行卡号,我假装没有识破,和骗子聊了很久,最后骗子不耐烦挂了,呵呵。。支付宝从来没有余额的人怕过谁!
    tonitech
        55
    tonitech  
    OP
       2014-02-20 00:20:16 +08:00
    @ayang23 你这是耽误人家的时间啊。。。哈哈!
    Zkiller
        56
    Zkiller  
       2014-02-20 00:38:31 +08:00
    @teavoid 我还是觉得lz发个神马图,小纠结下。
    我还是在疑惑,为啥我那天直接拿手机淘宝充值没有输入支付宝密码和手机验证码。
    @ayang23 要不要这么坑?人家在想,我赚你的钱容易吗?我。。。回家洗手不干了。
    tonitech
        57
    tonitech  
    OP
       2014-02-20 01:09:49 +08:00
    @9hills 我去啊!我就在泄漏的那批里!用户名和密码跟支付宝的一样。。。汗死。。。我太轻敌了。。。
    saybye
        58
    saybye  
       2014-02-20 01:24:16 +08:00   ❤️ 1
    @master 这个是很老的洞了,非常渣渣,支付宝必须没有任何安全措施,无安全问题、无支付密码、无绑定手机。 目测不是这个
    loveminds
        59
    loveminds  
       2014-02-20 02:37:34 +08:00 via Android
    @tonitech 7年没改,密码不同
    workaholic
        60
    workaholic  
       2014-02-20 07:25:26 +08:00 via Android
    社会工程学盗取你的密码
    JamieSoung
        61
    JamieSoung  
       2014-02-20 14:17:46 +08:00
    小额免密码,但是更换支付设备的时候不是还需要输入密码吗?
    fengliu222
        62
    fengliu222  
       2014-02-20 16:58:13 +08:00
    同学,你有女朋友吗?要不问问她?
    tonitech
        63
    tonitech  
    OP
       2014-02-20 17:00:32 +08:00
    @fengliu222 我去。。。我已经问过了。。。她说她啥都没做。。。
    fengliu222
        64
    fengliu222  
       2014-02-20 20:59:22 +08:00
    @tonitech 我去程序员居然又女朋友,有女朋友也敢来V2混?
    tonitech
        65
    tonitech  
    OP
       2014-02-20 22:03:11 +08:00
    @fengliu222 两地分居干嘛不敢?
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   5561 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 44ms · UTC 06:36 · PVG 14:36 · LAX 22:36 · JFK 01:36
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.