海南5男子购手机号开支付宝 盗取多人23.8万余元

　　二审昨开庭 将择日宣判

　　昨日下午，西安中院二审开庭。朱某、郑某等在庭上称，他们购买到用户手机号码及网上营业厅密码后，通过手机号码进入网上营业厅，开通短信过滤功能，再通过后面一系列操作更改用户支付宝密码。其中，筛选绑定支付宝的手机号码是重要一环。

　　“（筛选）操作时很枯燥”，认为量刑过重的上诉人郑某在回答检察员提问时称，筛选手机号码时要不断地复制、粘贴，一手操作鼠标，一手操作键盘，筛选后的手机号码都是开通了支付宝功能的。为方便操作，后加入的陈某收取了1000元软件开发费用后，制作了按键精灵程序，之后的操作只需要用键盘。但陈某称，该程序并不能提高筛选速度，仅仅是让一只手可以空下来。在做完程序后，陈某也表示想加入，“没人给我分钱，我（知道盗窃方法后）自己盗窃。”陈某认为，一审判决对其犯罪金额认定过高。法庭调查阶段，陈某的辩护律师申请对按键精灵程序的作用等进行鉴定。

　　对此，检察员一一辩驳，认为一审在认定事实、适用法律等方面均是正确的，请求维持原判。

　　庭审结束后，审判长宣布将择日宣判。

　　华商报记者 宁军

　　专家看法

　　有关部门应严厉打击买卖公民隐私信息行为

　　5个人在20天内通过网络作案方式，盗窃他人支付宝账户近24万元。为什么能发生这样的事？这些作案者是如何得手的？案件给社会带来了哪些值得思考的问题？昨日，华商报记者采访了西安电子科技大学计算机学院博士、副教授、教育部信息安全团队骨干成员杨超。

　　杨超说，这些人作案中最关键的环节，一是大量私人手机号码的获取，二是短信“验证码”的拦截。1万名电信用户手机号码和网上营业厅登录密码能够通过网络交易买到，本身就是很大的问题。有了这个条件，才为作案者提供了在网上盗窃的可能。这个问题值得有关部门高度关注，应该严厉打击买卖公民隐私信息的行为。

　　在电子支付时代，手机“短信验证码”被赋予了过高的权限。而实际上，手机短信在传播过程中可以被截获并容易被破译为明文，拦截短信的技术难度并不高，所以才会成为不法分子实施犯罪的重要方法。短信从通讯运营商内部网络到基站，再从基站到用户手机，信息传递速度尽管很快，但还有明确的路径。利用基站拦截、互联网木马软件等，都可能达到悄无声息拦截目标手机“短信验证码”的目的。

　　这起网络盗窃案的发生同时也说明，“支付宝”等第三方电子支付平台，在支付安全性方面亟待提高。电子支付平台的“安全性”之所以让人操心，一是和人接触的地方可能会出问题，比如被骗、被抢，以及弱口令、手机丢失等问题；二是可能影响电子支付的技术环节比较多、比较复杂，给不法分子带来了可乘之机；三是操作系统和操作环境本身可能存在漏洞。但最重要的还是第三方支付平台对技术设计、功能开发方面关注较多，但对用户账户和信息安全性的重视程度却显然没有提到同样高的程度。

　　杨超和省内一家银行电子银行部的负责人都提醒市民：作为电子支付时代的普通用户，一定要看牢自己各种客户端的登录密码，尤其是“验证短信”。华商报记者马虎振

　　疑犯是这样作案的看看哪步可防范

　　1 批量获取电信用户手机号码及登录电信网上营业厅的密码

　　2 利用支付宝平台查询系统筛选出开通支付宝账户的电信手机号码

　　3 用筛选出的手机号码登录电信网上营业厅，将用户的短信拦截功能激活，设置拦截支付宝、银行客服发送的短信

　　4 登录支付宝平台，输入已经激活短信拦截功能的手机号码，点击“忘记登录密码”，支付宝系统便会将更改账户密码的验证码以短信方式发送给用户

　　5 利用拦截到的短信获得更改支付宝账户密码的验证码，对支付宝账户密码进行篡改

　　6 将支付宝账户和关联的银行卡内的存款转入其准备好的银行账户或利用支付宝账户买卖游戏点卡实施盗窃

　　马上实验

　　支付宝重置密码目前需验身份证件

　　本案的案发时间是2013年10月。据了解，当时仅有手机短信验证码是可以重置支付宝密码的，而当时用手机号码作为支付宝账户名也非常普遍。那么，类似案件中的情况现在还存在吗？华商报记者昨日进行了模拟实验。

　　西安市民小马用的是电信手机，捆绑有支付宝账号，实验前仅告知华商报记者自己的电信网上营业厅登录密码。华商报记者登录电信网上营业厅进行设置。但查遍所有“自助服务”内容，并无“短信拦截”或“短信过滤”的设置。

　　随后进入支付宝官网，因为小马的支付宝账户名是邮箱号，记者点击“忘记密码”后重置登录密码，接下来又要求验证身份证件，输入身份证号和“短信校验码”，才可以重置登录密码。而要重置支付密码，还需要从“验证短信”“验证电子邮箱”“联系在线客服”三种方式选择一种，再次进行安全校验。之后，才能重置支付密码。

　　市民小李的支付宝账户名是手机号，记者重置登录密码和支付密码，发现和用邮箱名登录后的程序差不多，都需要验证身份证件。 华商报记者马虎振

　　如何预防个人资金被盗？

　　1.主要银行账户不要开通网银以及第三方支付平台

　　2.开通第三方支付平台的账户，不要储存过多现金

　　3. 为支付方便，可以把需要用的钱放在第三方平台，但不要捆绑银行卡

　　4.网上支付一定要注意操作环境的安全性，钓鱼网站一般都是用假支付页面打掩护，用木马配合骗用户输入账户和密码

　　5.经常用手机购物的用户，要养成设置开机密码的习惯。因为破解密码需要时间，一旦手机丢失，多一道密码保护就会减少一些风险发生的时间

　　95188

　　1.支付宝登录密码和支付密码最好用数字和字母组合的高级别密码，最好与其他网站使用的密码区别开来

　　2.给支付宝账户申请手机数字证书或手机宝令等

　　3.安装密码安全控件，可对密码进行加密，有效防止木马程序截取键盘记录

　　4.平时要多注意电脑安全，安装杀毒软件，不要上不安全网站，牢记支付宝官方网址，警惕欺诈网站

　　5.手机不要频繁刷机，不要root，不要接不明文件，不要扫不安全的二维码

　　6.认准支付宝官方客服热线95188，不要轻易相信别的所谓的客服电话，以免上当受骗

　　7.支付宝用户若发生手机、身份证、银行卡一起丢失情况，应第一时间拨打通讯运营商电话挂失手机卡，拨打95188冻结支付宝账户，如果有财产损失就一定要报警

编辑：杜明楠