支付宝被盗

疯井回忆ing

昨天收到短信支付宝异动，于是APP上修改了登录密码，心中还是有点忐忑，结果早晨检查了一下，发现上不了支付宝了，手机不敢用，当时打了支付宝客服，但是时间是8点到24点，之个只有电脑接待，来不及再找，马上上电脑去修改密码，按支付宝要求完成了许多动作，比如用银行卡 验证码，修改好密码重新进入支付宝查看有没有异常，开始还没发现什么，但是发现绑定了一个奇怪的电话，当时也没看这个电话绑在哪儿的，直接就去把这个手机号改成了自己的手机号，然后才有时间去查，查到支付宝的帐单，才发现从余额宝转出1万到余额，然后余额转出到招行卡。后来时间到8点，才打通了支付宝的电话，支付宝确认这张银行卡与支付宝同名，但提供的卡号确认不是本人的银行卡。问支付宝这张银行卡的身份证号是否与支付宝一样，支付宝让去银行确认是否是本人名下。后来去银行查询卡号，银行只说是提供的卡号与本人不能匹配，问银行是否就意味着这张卡号不是本人身份证，银行没有正面回答，告诉我可以从他的答复中理解，很是奇怪。要查这个卡号的身份证号和地址，也查不了。总之从银行吞吞吐吐的答复中觉得不是本人。
我就很想复原一下支付宝如何被盗。然后用支付宝做了一个试验，首先登陆支付宝，假设登录密码被盗（还没想清楚是如何被盗，但分析有可能邮箱先被盗，邮箱的登陆密码与支付宝是一样的），进入支付宝，修改手机号，这一步没有障碍，有可能骗子通过这一步首先改成自己的手机号。第二步，填加银行卡，银行卡的填加只需银行卡的名字与支付宝的名字一样，手机号是要与银行卡的一致就可以了，并没有要求必须支付宝的手机号，没有验证身份证号（但电脑上是需要提供的），成功。然后从余额宝转钱到余额，再从余额提现到骗子的银行卡。上面这几步中我觉得唯一可能的漏洞是骗子在增加银行卡时，支付宝是否验证银行卡与支付宝的身份证一致？如果只验证名字一致即可以，那这漏洞也太大了吧。骗子只要选取最普遍的名字，比如张勇之类的，再去找一张张勇的身份证办一个银行卡就可以准备盗支付宝之类的了。
不能确认的是是否支付宝填加银行卡，只要名字一样就可以？如果确实这样就是一个漏洞。
有没了解的同学来批驳一下，说明上面这么做是可能的还是不可能的。

作者 斜阳却照深深院

仓鼠肥加卡

支付宝也出问题，好吓人

航空母舰时代

打110报案

大神奇

不是吧，应该报警啊