手机装有支付宝 如果丢了很可怕？

《华商报》曾报道过一名市民没有消费，银行卡上的9991元却被人转走买了游戏Q币。

在微信朋友圈也流传着《手机丢了，里面装了支付宝，后果会如何》的文章，里面说，通过实际操作发现，只要装支付宝的手机被人捡到，就可能被轻松攻克支付宝登录密码。

这是真的吗?华商报记者拿了一部装有支付宝的手机，按文章所说的方法进行体验，结果发现，尽管支付宝安全措施有所升级，但只要知道几个关键信息，还是能通过手机或电脑重置登录密码、支付密码、绕过数据证书，还可以把绑定的手机号码改掉。

手机装了支付宝，丢了会很可怕？

实验时间：2015年1月25日

实验地点：华商报社、西安城南一居民家

实验人员：华商报记者

新闻事件

没有消费 银行卡9991元被转走

听到手机短信提示，傅女士一看，银行卡里先后两次被莫名转走了9991元。

傅女士说，这张工行储蓄卡是她老公的，但短信通知绑定的是她的手机。1月22日下午2时许，她听到手机短信提示音，第一条短信显示该卡网银支出9691元，第二条短信显示又支出300元。

傅女士和老公都没有消费，她立即向工商银行客服询问，经查询，钱是通过淘宝转走的。给淘宝客服打电话，客服人员说是通过淘宝平台转账购买了游戏Q币。因为交易限额不能超过1万元，所以卡上其他的钱还都在。傅女士找到银行换了新卡，之后向公安莲湖分局大莲花池街派出所报警。

工行客服人员说，如果客户手机丢失或不小心泄露了动态密码，造成资金被转，银行会协助警方调查。淘宝客服人员说，通过淘宝下订单都要经过支付宝，如果能查到转账的支付宝账号，就可查到交易明细。

热传微信

装有支付宝的手机丢了会如何

微信朋友圈里流传《手机丢了，里面装了支付宝，后果会如何》的文章，里面提到，首先，获得手机后如果不知道支付宝登录名，好多人的登录名就是手机号;不知道登录密码，通过点击“忘记密码”，一个手机验证码就能搞定。也就是说你只要有了手机，账号和登录密码就都有了。

而支付宝账号如果装有数字证书，一个短信就可以解除;接下来，支付密码同样也可以一个短信就搞定。

文章最后提醒：“一定收好你的手机，它比你的钱包还重要。”

如何应对

支付宝工作人员：手机丢失后要尽快办挂失

支付宝公关部工作人员张女士表示，网上流传的帖子已经很久了。针对其所说的问题，公司通过微信公众号等途径曾多次回应过。最近的一次是2014年12月15日。实际操作也可以证明，支付宝安保措施升级以后，按照帖子说的去做是行不通的。至于手机、身份证、银行卡一起丢失，并因而导致支付宝账号被盗，在现实情况中发生的几率并不大。“退一万步来说，如果真的发生了这样的情况，打电话告知95188，就会由保险公司全额赔付。”

张女士提醒支付宝用户，若发生手机、身份证、银行卡一起丢失情况，应第一时间拨打通讯运营商电话挂失手机卡，拨打95188冻结支付宝账户，如果有财产损失就一定要报警。

针对“支付宝给予手机的权限是否过大”的问题，张女士没有正面回答。她表示：“如果手机、身份证、银行卡一起丢失，银行卡上的钱不仅仅可能从支付宝上被窃取，还可能通过其他第三方途径遭受损失。”言下之意是，用户对自己的重要证件和重要信息的管理，也是一个很重要的方面。

记住这几点账户更安全

支付宝公关部工作人员张女士提醒市民，记住这几点可以更好地保护支付宝账户的安全：

1、支付宝登录密码和支付密码最好用数字和字母组合的高级别密码，最好与其他网站使用的密码区别开来;

2、给支付宝账户申请手机数字证书或手机宝令等;

3、安装密码安全控件，可对密码进行加密，有效防止木马程序截取键盘记录;

4、平时要多注意电脑安全，安装杀毒软件，不要上不安全网站，牢记支付宝官方网址，警惕欺诈网站;

5、手机不要频繁刷机，不要root，不要接不明文件，不要扫不安全的二维码;

6、认准支付宝官方客服热线95188，不要轻易相信别的所谓的客服电话，以免上当受骗。 

马上实验

华商报记者专门进行了实验。结果发现，支付宝安全措施已经有所升级，若仅仅丢了手机，出现帖子中所述后果可能性较小;但如果不小心连身份证、银行卡一块丢了，又没有及时挂失，帖子中所述的情况却完全可能发生。

手机实验

仅捡到手机 难以破解登录密码

借来朋友没有设置开机密码的iPhone5手机，里面装了支付宝。支付宝账户名就是手机号码，登录支付宝用的是手势密码。

1.在登录界面，选择“管理手势密码”，进入“手势密码”设置

2.点击“忘记手势密码”，屏幕弹出“忘记手势密码，需要重新登录”

3.选择“重新登录”后，登录界面上的用户名是不完整的手机号，密码是空的。选择下方“忘记密码”，出现“重置登录密码”的窗口，填了完整手机号和验证码，点击“下一步”

4.弹出了“安全校验”窗口，显示有三种方式可以进行安全校验：通过手机短信+证件号码校验、通过手机短信+安全保护问题校验、联系在线客服

不是自己手机，安保问题不好回答;在线客服就算了吧。所以选择第一种方式，点击后手机收到校验码，填写后，出现机主的实名，要求填写身份证号。

结论：看来，网帖中所说的仅仅凭借校验码行不通。

凭借身份证号 可顺利重置登录密码

1.模拟场景：手机、钱包和手机一起丢了，钱包里有身份证和捆绑支付宝的银行卡。(生活中，有一些人会习惯把手机和钱包都放在包里。)

2.和前面步骤相同，到填写身份证号时，正确填写，“重置登录密码”窗口出现了。设置新密码重新登录后，第一步完全攻克。

3.进入支付宝界面，点击右下角“财富”按钮，机主的全名、手机号、账户余额、关联的银行卡数量、余额宝、娱乐宝等尽收眼底。

知道一张银行卡 可顺利重置支付密码

1.点击姓名旁的小箭头，进入“账户与安全”后，“密码管理”“支付设置”“账户保护”“设备管理”“快速挂失”等都可以点击了。

2.进入“密码管理”，点击“找回支付密码”后，出现了两个选项：通过“短信+安保问题”找回、通过“短信+已存快捷卡”找回。

3.按照设定的情景，选择第二种方式，点击后手机再次收到校验码。填写完，弹出要求填写“已存快捷卡卡号”的窗口。由于朋友账号捆绑了一张信用卡、一张储蓄卡，记者照着储蓄卡卡号填写后，点击下一步。重新设置“支付密码”的窗口出现。设置后，顺利破解朋友支付宝账号最高权限的密码。

4.接下来，试着从朋友银行卡给其支付宝账号充50元看看。输入刚才设置的支付密码后点击确定，弹窗显示“充值成功”。不需要再输入银行卡的支付密码。

5.接下来再试试给别人的支付宝账号转100元吧。OK!一切顺利，就如同在随便玩自己的支付宝账号。

电脑实验

和手机短信校验码配合 重置登录、支付密码很简单

电脑实验情境模拟：手机、装身份证、银行卡的钱包一起丢了。也就是说，实验者掌握着支付宝捆绑的手机和机主身份证号，以及一张支付宝绑定的银行卡卡号。

1.华商报记者在支付宝登录页面的账户名中输入朋友手机号后，直接点击下面的“忘记登录密码”。

2.随后进入“找回登录密码”页面，填写账户名、网页验证码后，点击“下一步”。

3.新页面提示：“你在不常用的环境下操作”，需要进行安全校验。有两个选项可供选择：通过手机校验码+证件号码、通过人工服务。

4.选择第一项后，手机收到校验码短信，填写了校验码和身份证号码，便进入“重置登录密码”环节。设定好新密码后，登录密码便被攻克。

5.接下来重新登录，进入支付宝账户页面。其账户余额显示为50。在其账户的交易记录中，可以看到其通过支付宝购买的所有商品。点击进入安全中心的安全管家，可以看到其安全等级显示为“高”，有数字证书保护。

6.在该页面左下角，可以看到“快速入口”下的“找回支付密码”。点击进入后，填写了手机收到的校验码后，再填完银行卡卡号和身份证号，便可以顺利重置支付密码。

数据证书很头疼? 有手机在手便可绕过去

接下来，华商报记者尝试用电脑给别人支付宝账号转10元钱，结果页面提示，“你是数字证书用户，但本台电脑尚未安装证书”。这让华商报记者想起了网帖子中所说的内容，从作者的叙述看，应该是通过手机短信校验码申请取消了数字证书。

难道只能取消吗?记者注意到，页面提示有“你可以安装数字证书”。那就安装一个试试呗!点击安装后，填写了使用地点和页面验证码，提交后再次收到手机短信校验码。填写后，下一步便进入安装。完毕后再次转账发现，又进入了“自由境界”。想怎么玩，就可以怎么玩了。

如果一张银行卡上没钱了，还有另一张卡，网帖中还介绍了可以添加银行卡的事情。华商报记者没有做这个实验，但想来既然已经掌握了该账号的最高权限，有什么事情是做不成的呢?

怕短信“打扰”到账号主人?竟然可直接改绑定别的手机

网帖介绍中，作者还从窃取别人支付宝账户者的心态考虑：这样的频繁的短信骚扰是否会让失主发现?所以，在操作中把绑定的手机号码也改了。现在依然可以这样做吗?

华商报记者再次尝试，在安全页面快速入口下点击“更换手机”，页面打开后有两个选项：无法接收短信、能接收短信。点击“能接收短信”，又弹出两个选项：通过证书+手机校验码、通过手机校验码+支付密码。

这两个选项，现在都不是问题。选择第一个，填写收到的手机短信校验码后，再填写新手机号码，和新手机收到的短信校验码，原来绑定的手机就接到了停止服务的提示，短信提醒便转到了新手机上。

再次进入支付宝账户页面，华商报记者发现，朋友支付宝账户的账户名也改成了新的号码。

实验总结

核心安全权限级别设置 手机短信似乎最大

相关帖子总结说，这一切“杯具”的根源在于手机的权限太逆天，居然可以解除其他所有安全设置。正确的策略应该是数字证书优先于手机验证，可支付宝居然可以让手机取消数字证书……

网帖作者认为，支付宝应该做的有四点：1、提供禁用手机号登录功能;2、找回密码别这么简单;3、支付密码和数字证书级别应在手机之上，禁止用手机找回支付密码，禁止解除数字证书;4、数字证书和支付密码如果要修改，可以委托给合作银行，或自己在全国开设网点，银行身份证和本人验证，至少目前是最安全的。

华商报记者注意到，尽管支付宝在安全策略上已有所升级，比如找回密码除了要填写短信校验码外，还增加了安保问题或证件号、银行卡号等，但核心的安全权限级别设置方面，手机短信似乎还是最大的。