当前位置：&&&&&&&&&
深圳小伙曝手机支付漏洞 小店多次被骗扫码收款要当心
来源：晶报、中国商报&|& 09:27&编辑：钟明慧
导语：深圳00后小伙发现可以免费买东西的手机支付漏洞，假装扫码出示支付成功截图并给店家。还有&克隆微信&假支付，小店扫码收款要当心。
如今，各种手机支付模式层出不穷，用户原来唯一需要担心的，就是自己的钱够不够花。可最近，有市民向记者反映称，自己掌握了一种不花钱就能买东西的方法，而且还屡试不爽，这其中的支付手段，正是扫描二维码支付。
&免费支付&有歪招
00后小侯最近发现了一个小秘密：无需绑定银行卡，手机钱包余额里也没有钱，只需要做一个小操作，就可以免费买东西。
原来，通过多次观察，身住福田区华强的小侯发现小额支付的一个不大不小的问题：多数时候，特别是城中村的便利店、小卖部等商家，都并不核对小额支付是否成功，并且都使用固定的二维码贴在显眼位置，以方便顾客消费结账。即便偶尔核对，也只是看顾客方的手机支付是否已成功。
既然如此，那只要冒充支付已成功，不就能瞒天过海了吗？小侯先是在某小卖部购买了一瓶价值4元的饮料，并通过店家张贴的二维码正常支付，支付后截屏。那么下一次，他再在这家店购买4元的饮料，只要假装扫码，然后切换到事先准备好的支付成功截图并出示给店家，然后就完成了一次&免费支付&。
侯先生向记者展示支付成功页面截图，他称已试过数次都没有问题。
&我来回试过四五次，都是买100元以下的东西，每一次都成功了，店家也都不过问，思来想去，我还是决定通过向媒体报料的方式，提醒各位。&小侯的担心不是没有道理，虽然只是小额支付，但能顺利运用这一街头伎俩的人，估计不在少数。
&克隆微信&假支付
如今看似便利的手机支付，也被别有用心的人玩出了&新套路&：近日有媒体报道称，河南从事服装生意的一名店家，眼看&回头客&已将钱转至自己的微信上，谁知是个幌子，转眼被骗走6件商品。
1月5日下午，一名不久前刚买过一件衣服的&回头客&再次来到店里。店家称，和这名&回头客&讲好六件衣服的价钱为460元，对方提出微信支付，&好像那会儿柜台没人收款，她说直接转我微信上。&
店家随即拿出手机，打开了&收付款&里的收钱二维码，让顾客扫码支付。然后女顾客就开始转账，其间她还将微信转账过程中出现的信息拿给店家核对。店家称，若不是汇总账目时发现了问题，自己都意识不到出了问题，损失了价值400余元的商品。
此后，店家才从圈内朋友处得知&克隆微信&的骗局：骗子看中一个商家准备下手，可以用手机注册一个新微信号（或使用团伙微信账号），通过各种渠道获取商家收款微信的昵称和头像，然后将头像设置为该微信号头像，将微信昵称也改成与商家微信名一样的。&行骗时，骗子只要从自己的微信账户将钱转给注册的新微信号上，拿着支付凭证，看起来跟转账给商家微信号的效果差不多。若是商家顾不上查看手机收款信息，仅扫一眼转账页面，大部分人就会上当！&店家称。
手机收付款要当心
记者注意到，微信钱包实名认证的收款人，在转账过程中，昵称后会显示该用户实名的最后一个汉字，如果查看支付过程时仔细一些，还是能看出端倪的。
记者走访市场发现，不少商家使用微信扫码（即面对面收钱）收钱时，仅看一眼顾客出示的转账记录，并不会用自己的手机查看货款是否到账。而一家位于红荔路上的商铺营业员更是告诉晶报记者，店内设置的收款二维码是老板的账号，每次手机收款她几乎都需要打电话让老板确认，&确实有时候忙得顾不上问。&
系统漏洞频现 支付宝到底安不安全
1月10日，有网友惊讶地发现支付宝可以更改别人的密码，甚至不用输入原密码，只要有被篡改人的手机号码即可，这对广大支付宝用户的财产安全无疑造成了不小的威胁。
按照该网友的说法，支付宝的漏洞原理如下：支付宝APP登录&&选择&忘记密码&&&选择&手机不在身边&&&这时支付宝会让你选择&淘宝买过的东西&（9张图片选1个）&&&你可能认识的人&（9个好友选1个）&&如果选择对就可以重置密码，且成功率较高。
支付宝随即作出回应：&为了更好地提升用户的安全感，在接到网友反映后，我们进一步提高了风控系统的安全等级。&
其在官方声明中称，这一方式仅在特定情况下才会实现。在通常情况下，用户找回登录密码至少需要输入手机短信验证码。对于部分暂时无法收到短信的用户或更换移动设备的用户，支付宝的风控系统会先进行评估（比如账户信息完整程度、网络环境等）。在安全系数较高的情况下，才让用户回答一系列安全问题，只有在回答正确后，才能修改登录密码。
支付宝还称，这一策略只能找回登录密码，仅通过回答安全问题无法找回支付密码。且一旦用户支付宝在其他设备被登录，本人设备会收到通知提醒。
中国商报记者于1月10日上午11时左右登录支付宝进行试验，找回登陆密码的方式已变成&刷脸验证&、&验证本人银行卡信息&和&拨打验证电话&。据支付宝介绍，目前仅在用户自己的手机上，才能通过识别近期购买商品以及识别本人好友来找回登录密码，通过其他手机设备是无法应用这一方式找回登录密码的。
支付宝时有漏洞发生。前不久，支付宝才刚经历了一次AR红包漏洞。2016年12月，支付宝在新版推出了AR红包玩法，这是基于高德地图LBS位置信息和AR场景应用的AR红包。不过，随后被网友找到漏洞，通过PS技术，获取红包。对于存在的漏洞支付宝官方发布微博表示，已经对AR红包进行了产品技术上的升级，扫描他人屏幕线索图领取红包的概率已经进一步降低到万分之几的概率，通过PS抢到红包的概率也大幅降低。
2016年5月，有人曝光支付宝APP转账漏洞：通过支付宝转账，即使输错账号，退款到原有账户，转账处理页面也会显示&付款成功&的字样。这其实和上面的银行短信提醒漏洞有相似之处。随后，支付宝弥补了这个漏洞。
2015年10月，一则关于支付宝实名认证出现漏洞的消息闹得沸沸扬扬，随后支付宝回应称，如果发现支付宝实名认证账户下出现其他关联账户，是因为账户持有人存在身份证等个人隐私信息泄露的情况，导致被关联认证，且子账户不能用认证身份借款。
2014年2月，淘宝和支付宝认证被爆存在安全缺陷，黑客可以简单利用该漏洞登录他人淘宝/支付宝账号进行操作，危害等级高。
今后，支付宝用户应当如何避免系统漏洞可能带来的财产风险？可以设置更高难度的安全问题或者调低花呗额度，当发觉疑有支付宝被盗用迹象，可立即挂失：在&我的&&&设置&&&安全中心&&&急救包&中选择&快速挂失&，挂失后&资金不进不出，任何人无法登录&。
下一篇：没有了
的相关阅读:
窗花有话说
网友评论仅供其表达个人看法，并不表明深窗立场。
深窗公众平台Iphone变板砖，Apple账号被盗，被改，被删，和找回的经历，该千刀万剐的骗子....
周六有事，在外面忙了一天，晚上回来的时候发现ipad显示"ipad已丢失并被抹掉........"，一开始还以为出了什么故障，可是后来发现需要重新激活，而且我输入的apple账号被显示密码不正确，而且登录apple官网，发现连apple账号都被删了，跟账号相连的ipad和iphone变成了板砖...查了一下邮箱，确认账号被盗了，骗子在短短的两分钟之内完成了以下操作，看来是惯犯，手法及其熟练为了进一步敲诈，骗子在屏幕上留了一个网址，让我去那里寻找解决方案...具体我就不在这里贴了，免得大家看了恶心---------------------------------------------------------------------------------------------以下为我的解决方案，仅供大家参考首先我查了查类似的案例，不查不知道，一查才发现这类案子还真不少，已经形成了行业规模，专挑苹果用户下手。在此声明，我的两台机器都没有越狱，也没有上什么不该上的网站，（楼主在国外），不需要通过一些不干净的网站来做什么，但账户信息还是被盗了。查了一下，Apple的Icloud是出了名的不安全，之前已经发生了大规模的账号丢失的情况了，好莱坞的很多明星在icloud里的艳照都流出来了（比如珍妮弗，劳伦斯等）。我一直相信苹果系统作为一个闭合的生态圈会很安全，可是这次发生的事情无情地击碎了我幼稚的想法......当然，苹果为了应对这些事情，已经采取了双重加密的手段，但是哪里有那么快就能普及呢？楼主没有按着骗子的思路走，楼主相信还有其他的解决方案，就算是按照骗子的要求汇钱过去了，又怎么能确信骗子一定会把账号还给你呢？而且，骗子已经删光了你机器里的所有信息，就算拿回账号，如果你没有及时备份，那里面的信息，照片等也是完全丢失了......楼主觉得，对不宽容事情的宽容就是纵容不宽容，对不该妥协的事情妥协就是纵容这帮猪狗不如的畜生......接下来楼主首先查了一下苹果官网，发现苹果有一个产品安全部门，如下但是仅仅只留了一个邮箱，楼主报着试一试的想法，把问题总结了一下写成一个报告给发过去了，过了一会，收到了这样一封邮件，我的情况呗列为了一个例子，还有编号接下来，楼主就拿着机器去了苹果官方店，在那里把情况说明之后，工作人员也是走的这套程序，不同的地方在于，他们汇报的网页上面可以输入我的电话，在提交之后这个安全部门的电话很快就来了....接下来就是跟他们解释，出示证据，楼主给他们那边发了好几个带有账户购买记录的邮件，核实了安全信息和银行卡资料....终于，楼主的账号被顺利找回，前后大概用了三个小时，说实话，比我想象的顺利......再次提醒大家，除了问题不要按骗子的思路走，因为你不能保证账号能拿回来......用户的权限再高，最高权限都在官方那里，所以不用担心事情没法解决------------------------------------------------------------------------------------------------------最后说一些楼主的感受这两台机器说实话都已经好几年了，就算是不能用了楼主也能接受，但是机子不重要，机子里面的东西很重要，家里刚满一岁的宝宝照片就存在其中一台机子里，因为机子容量大，从来没有往电脑里输过（我老婆用的，也没有这个意识，幸亏我在前一段时间全部备份了一遍，不然后果可想而知...楼主自己用的ipad就没有那么幸运了，照片信息等全部丢失......）但是，这些我们用户相当重视的东西在骗子那里什么都不是，账号一到手就眼都不眨地给你全部抹除......记得之前看过一篇日本人画的漫画，题目好像叫做《五亿年按钮》（），有兴趣可以去搜一搜，这些猪狗不如的畜生为了自己那一点点卑劣的欲望，竟然全然不顾他人的痛苦，想想古代为什么会有凌迟等酷刑，瞬间觉得合理多了。---------------------------------------------------------------------------------------------------------最后，希望大家市场备份自己的手机，包括联系方式等记录，随着智能手机的发展，手机集成的功能越来越多，也会越来越不安全，说不定哪一天就发生在你身上......
[&此帖被诸葛墨谦在 21:55修改&]
有法漂和原盒，就是麻烦点，但是不用怕
最近网易邮箱泄露了，有好多人是用163当apple id的
2楼说的对。。。上周五我刚刚中招。。。找回方法就是上官网打电话联系客服。然后和他沟通一步一步来就行了。不过得记住id的安全提示答案。。
那些Apple Id被盗 基本上都是邮箱被盗，你应该也是，查查邮箱的登陆纪录吧
引用2楼 @ 发表的:
最近网易邮箱泄露了，有好多人是用163当apple id的
别吓我，我就用的163邮箱
前几天我的也挨了，打电话给客服说了两个小时都没解决，把我电话转到维修中心，叫我不要挂机，然后我就听了一个多小时的音乐。最后受不了就到某宝找人帮弄，谁知道叫了几家都没搞好，我以为这手机就是砖头了，后面看到网易漏洞的新闻，再打电话给客服，几分钟就弄好了。客服会发你一个邮件到邮箱，然后你点击按照客服的一步一步做就可以了，不记得密保也行，报上你的名字就行。
同事的连ID带密保全改了，客服建议重新注册一个，关键里面还挺多钱，买的收费应用也瞎了
为什么都不去官网弄两步验证？活该被盗…
发自手机虎扑 m.hupu.com
引用5楼 @ 发表的:
别吓我，我就用的163邮箱
看这个帖子和这个新闻。网易邮箱确实泄露了帐号密码
但是网易死不承认。。
引用5楼 @ 发表的:
别吓我，我就用的163邮箱
是真的你百度看看，这次挺严重的，有人莫名手机就被锁了
我查了下自己的163邮箱，登陆地没出异常暂时应该没事
如果支付宝用了163的赶紧改密码以防万一
引用9楼 @ 发表的:
看这个帖子和这个新闻。网易邮箱确实泄露了帐号密码
但是网易死不承认。。
引用10楼 @ 发表的:
是真的你百度看看，这次挺严重的，有人莫名手机就被锁了
我查了下自己的163邮箱，登陆地没出异常暂时应该没事
如果支付宝用了163的赶紧改密码以防万一
吓的我赶紧改了邮箱密码，万幸貌似还没被人动过。
还是要设个两步验证压压惊才行了。
引用11楼 @ 发表的:
吓的我赶紧改了邮箱密码，万幸貌似还没被人动过。
还是要设个两步验证压压惊才行了。
恩，和朋友也扩散下吧，用163的还是挺多的
我为什么打电话给APPLE 客服，他们说我这个问题 需要2-3周才能拿回我的ID，而且让我发邮件刀美国那边去
引用6楼 @ 发表的:前几天我的也挨了，打电话给客服说了两个小时都没解决，把我电话转到维修中心，叫我不要挂机，然后我就听了一个多小时的音乐。最后受不了就到某宝找人帮弄，谁知道叫了几家都没搞好，我以为这手机就是砖头了，后面看到网易漏洞的新闻，再打电话给客服，几分钟就弄好了。客服会发你一个邮件到邮箱，然后你点击按照客服的一步一步做就可以了，不记得密保也行，报上你的名字就行。
没有发票能解决吗
发自手机虎扑 m.hupu.com
你们愿意花几个小时几天，甚至手机被锁的风险，都不愿意去苹果官网开启两步验证，自己作死能怪谁，真无语。
您需要登录后才可以回复，请或者
1393人参加团购528.00元&1099.00元
148人参加团购539.00元&999.00元
189人参加团购695.00元&1299.00元
91人参加团购399.00元&899.00元
1730人参加团购139.00元&269.00元
315人参加团购699.00元&1390.00元
164人参加团购440.00元&619.00元
390人参加团购400.00元&1099.00元
2328人参加团购1188.00元&1599.00元
626人参加团购199.00元&729.00元
279人参加团购399.00元&799.00元
759人参加团购779.00元&1299.00元213被浏览91,806分享邀请回答7345 条评论分享收藏感谢收起aq.qq.com/cn2/index页面是这样的：看，太像了吧！不仔细看细节，正常人一看QQ密保手机被修改了，肯定会想申诉或保护→到了这个骗子页面→填写QQ号和密码→真正进入骗局！只能感叹现在骗子的技术太高了。可是为什么这样的邮件进入了我的QQ邮箱？1713 条评论分享收藏感谢收起5,794被浏览561,126分享邀请回答29093 条评论分享收藏感谢收起8232 条评论分享收藏感谢收起Apple id被盗、手机被设置为丢失模式后找回的经历_生活记录_什么值得买
Apple id被盗、手机被设置为丢失模式后找回的经历
& 事情其实是近3个月前，7月25号发生的，一直懒得记，这下闲了总算是可以跟大家分享一下。1.事件概况& 6月下旬apple id开始出现异常登录情况，但是我的apple id上并没有绑定信用卡，所以也没有把它当回事。7月25号盗号者用ie浏览器登录我的appleid，并尝试修改我的appld id的邮箱。由于我设置了密码提示问题，apple id的邮箱是QQ邮箱，QQ号是我唯一一个密码和其他账号都完全不同的互联网账号，盗号者修改不成，于是在25号中午12点将我的apple id设置为丢失模式，里的所有数据都被强制抹除，需要登录我的apple id才能解锁，但是由于此时apple id被锁定，无法解锁。后通过苹果客服，一直折腾到晚上接近9点解锁完成，顺利挽回手机。& 损失：手机上存储的所有数据。2.事件经过& 7月25号上午，正在上班时，收到一封苹果的邮件，我的apple id在24号晚上6点在IE浏览器上登陆了。大家知道，这种登陆邮件，是官方发现你存在异常登录的情况才会发给你的。以亲身经历敬告各位值友，要是收到这种邮件，一定要去及时修改密码啊！7月25号收到的第一封邮件，显示apple id的异常登录早在6月份就被提示apple&id被盗，但是没有理会& 过了一个小时左右，又收到第二封邮件，盗号者在凌晨2点尝试修改我的apple id的邮件地址，然而我又没有理会，因为当时手头有急事。这里就要说苹果的邮件延迟了，晚了很多个小时才发给我。不过按照我的尿性，就算能第一时间发过来我也不会理会的吧……骗子修改我的apple id的登录邮箱& 25号中午12点，正准备去吃饭，拿起手机发现手机自动重启了。当时以为是手机BUG了，自动重启，并没有在意。吃饭途中拿出手机看新闻，才发现手机回到了初始模式，就是跟刚拿到手的新机一样要逐步设置语言啊之类的，按照提示一步步输入apple id 的账号密码，发现解锁不成，就意识到出问题了。& 当时很不赶巧，公司26号组织了一项大型活动，25号晚上是欢迎晚宴，我们下去要去活动现场，所以心里是很着急的，没有手机用，苹果的卡一般安卓机也用不了。午饭后回到办公室，用电脑尝试登录apple id失败，就第一时间拨打了苹果客服。这里要表扬一下苹果客服，不仅态度很好，几次安慰我别着急，然后给我大概说了一下解决办法。苹果的客服机制也不错，会给你的事件单独定一个编号，因为你两次拨打客服的电话，接电话的不太可能是同一位客服，客服可以根据这个事件编号来查询这个事件的详情，免去了对客服重复叙述事件的麻烦。（如果大家打过2014年的微信公众号客服，大家会深刻理解这个事件编号机制有多么方便好用）& 按照客服的说法，当时我的账号被锁定了，密码提示问题因为被盗号者连续输错五次也被冻结。冻结时长是8小时，客服那里也只能查到被冻结，无法查到何时解冻。客服的建议是，按照一定的频率比如半小时一次，持续拨打客服电话，让客服查询密码提示问题的解冻情况。& 这段内容是我猜的：因为当时apple id被锁定，我登录不成，其实盗号者应该是也登录不成的，所以应该不可能卡住8小时的CD，在解冻后继续连续五次输入错误密码提示问题，继续冻结让我不能通过密码提示问题解锁。只是个人猜测，不知道对不对，希望大家指正。& 25号下午3点多，在我前往公司活动现场前，apple id 的注册邮箱也就是我的qq邮箱，收到了盗号者发来的邮件。盗号者发来的邮件发来盗号邮件的qq号& 我没有理会盗号者，问同事借了个备用手机，从25号下午开始一直打苹果客服打到晚上8点，各种麻烦就不说了。终于在大概晚上8点10分左右，客服告诉我密码提示问题解冻了！答对密码提示问题之后，客服表示帮我把电话转接到权限更高一级的上级客服，反复叮嘱我一定不要挂电话，等待那边电话接通，处理完之后就可以解锁了。这个电话我等了大概有半个小时才被更高一级的客服接通，还是老样子验证密码提示问题，然后就给我的QQ邮箱里发了一封重置密码的邮件。通过邮件里的链接重置过密码之后，用新的账号密码解锁了我被设置成丢失模式的手机。自此手机找回。& 事后回想，中午12点手机被设置成丢失模式，到晚上8点密码提示问题解冻，盗号者其实就是在把我的手机设置成丢失模式的同时冻结了我的密码提示问题。3.事件总结& 这次所幸没有什么物质上的损失，只是损失了手机里的全部数据。还好自己有定时备份的习惯，也从来不用icloud，所以数据没有泄露，丢失的数据大多数也都能找回。& 也再次提醒大家：& 1.尽量做到每一个互联网账号都设置不同的密码。其实有一些很简单的办法就可以实现这种看起来挺复杂的事情，比如我有个哥们叫老三，生日是7月16号，他的qq密码是0716laosanqq！@#，支付宝密码是0716laosanzfb！@#，163邮箱密码是0716laosan163！@#。只要不会被盗号者以撞库的形式撞到的都是好方法！& 2.不要跟我一样，明知道账号被盗了还不去改。& 3.万一真被盗了，打客服的时候不要在电梯里这种信号不好的地方，也不要拿着快没电的手机去打，要不然你真撑不住这个总时长45分钟的电话。
推荐关注：
鼠标移到标签上方，
尝试关注标签~
相关热门原创
作者其他原创（2）
锤子科技 坚果3 智能手机
松下nanoeX智能WiFi旗舰壁挂式空调AE13KM1
Apple iPad 2018年新款9.7英寸+Apple Pencil套装
【轻众测】须眉 SH-A161 电吹风
铜师傅安格尔 黑胡桃原木 1.4米餐桌椅套装
斐讯 家庭NAS 天天链N1
巴比丽丝 BABYLISS 恒温护发吹风机
【运动季】FlipBelt飞比特多功能运动紧身裤
任天堂 Nintendo Labo
赞356评论266
赞78评论56
赞76评论64
赞586评论350
赞577评论454
赞650评论285
赞942评论370
赞299评论108
扫一下，分享更方便，购买更轻松
用户名/邮箱
两周内免登录