近日,一个专门盗窃支付宝账号的团伙被杭州警方和支付宝公司联合破获。奇的是,这个团伙是通过软件扫号方式搜集支付宝账号,再以猜密码保护问题答案的方式替换账号密码、换绑手机,从而盗取账号内的资金。初步调查显示,这个由三人组成的团伙累积盗取有资金损失的账号628个,盗取资金32万元。
嫌疑人中一人为在校大学生
2011年10月份,用户王先生的支付宝账号被盗,账户内的6万多元资金被盗取。支付宝接到用户反映后迅速向西湖警方报案。警方和支付宝风险控制人员初步调查后发现,同时段有多个账户被人以相同方式盗窃,调查人员怀疑这是一个专门盗取支付宝账号的惯犯所为。
此后,警方和支付宝风险控制人员一直持续跟踪这一系列被盗案件。2012年一季度,案件调查出现了转机。警方和支付宝风险控制人员在案件分析中发现,一批被盗账号都被用来在网店中购买以杯子作为名称的商品。调查人员怀疑这是犯罪嫌疑人在网上建立的网店,自买自卖,然后通过之前盗取的账户代付货款,以此来盗取资金。
经过跟进分析,调查人员逐步定位了这起盗窃支付宝账号案件的人员身份:这是一个以漳州林某为首、厦门陈某和福州蔡某共同组成的盗窃团伙。今年5月底,西湖警方前往福建,在漳州、厦门、福州三地分别将上述三人抓获。警方发现,三名嫌疑人都非常年轻,年纪最大的陈某1989年出生,而林某和蔡某分别是1991年和1992年出生,蔡某甚至还是福州某大学的在校学生。
密码保护问题设置“我的生日”“出生地在哪”易被猜出
这个团伙是怎么盗取用户账号的呢?警方和支付宝合作调查发现,他们采用的竟然是最原始的方式——猜密码保护问题的答案。
三名犯罪嫌疑人的交代和警方及支付宝之前对案件的分析情况基本相符。从2011年4月开始,林某和陈某就开始倒卖他人盗取的淘宝账号。7月份开始,他们瞄上了盗取支付宝账号资金这条来钱更快的路,两人首先通过软件搜集支付宝账户,但支付宝账号受到密码和数字证书等保护。为了盗取账号内的资金,两人想到了猜密码保护问题的方式。随后在校学生蔡某在8月份也被拉入了这个团伙,专门负责根据林某提供的账号猜解密码保护问题答案,以此破解账号密码。
据介绍,为了防止用户在忘记密码或者手机丢失的情况下无法操作自己的账号,支付宝提供了通过密码保护问题找回密码或换绑手机的通道。这也是绝大多数互联网账户服务都会提供的一种保护方式。警方表示,实践中一些用户的密码保护问题和答案设置得过于简单,加上又在网络上留下了大量的个人资料,这给了犯罪嫌疑人可乘之机。
“有些用户的密码保护问题就是‘我的出生地是哪里’,犯罪嫌疑人通过搜索等方式很有可能缩小答案的范围甚至猜中答案。”负责此案的一位公安人员建议用户在设置密码保护问题时一定要注意提升安全级别,尽量使用相对复杂、不会轻易被别人获知的答案。
支付宝方面表示,支付宝除了密码、数字证书等直接提供给用户的安全保护手段之外,在后台还有一套完善的智能化风险管理系统以及专业的风险管理团队,各种盗用、欺诈等行为都会在系统内留下痕迹,今年以来支付宝已经多次联合警方破获相关案件。