话说，从昨天开始

支付宝可以查询2016年度账单

于是，普法君的朋友圈变成这样子……

你们这样真的好吗？？

壕们以后多约出来吃饭啊！

不过，对一些人来说

账单里的钱有可能不是自己花的！

没错，就是账户被盗刷了！

这次被不法分子钻的空子是：

免密支付

我们享受着手机支付带来的便利的同时，

你是否关注过“免密支付”功能？

今天我们就来看看

因开启免密支付而遭遇盗刷的案件！

什么是“免密支付”？

许多第三方支付平台都有一个"小额支付免密码（验证码）"功能，为了方便用户不需要每次支付都输入密码。

“免密支付”本是一个便民利民的新功能，

然而却有不法分子钻了这个空子！

▼▼▼

案件回顾

今年3月起，某电商平台陆续收到客户投诉，与平台绑定的第三方支付账户被盗刷，9月底累计已有60多名，涉及金额5万多元，该平台负责人在自查无果后向南京鼓楼警方报案。

警方调查发现，所有受害人账户都在某二手闲置平台有过交易，但都非本人操作。其中30多名受害人与同一个卖家曾有交易。随着警方深入调查发现，这些受害人的登陆ip和“卖家”ip一致。也就是说这是同一个人自己卖自己买。

经过追查，警方最终在山东莱州抓捕嫌疑人张某，现场收缴了涉案银行卡53张，POS机22台，手机11部，动态密码器（优盾）32个。

没有常见的

陌生短信、木马链接

受害人是如何被盗刷的呢？

这是一个需要一定技术的

高科技诈骗

▼▼▼

手法揭秘1

第一步：张某通过黑客手段，在安全级别较低的网站（如视频网站）批量窃取账号和密码（业内称“扫库”）。

2

第二步：利用“扫库”得来的数据去批量登录有支付功能的账号（业内称“撞库”），如果网友在两个平台的账号和密码相同，“撞库”即可成功，在本案中，张某成功的概率高达10%-20%。

3

第三步：筛选用户。张某技术有限，无法获取用户验证码，所以只对开启“小额支付免验证码”功能的用户下手，批量盗刷现金。

为什么会被盗刷？

许多用户很不解，为什么我的卡在，密码也没有泄露，但是仍然被盗刷了呢？

1

使用同一套用户名和密码

为了方便记忆，大部分人在不同的 app 上使用的都是同一套用户名和密码，甚至有的人与个人金融相关的 app 上登录密码和支付密码也是同一套。

2

嫌疑人利用群众疏忽点

因为不同软件上的用户名和密码相同，才有了张某这类利用"扫库"与"撞库"相结合的方式来实施网络诈骗。

3

利用了免密支付不需要验证码

在本案中的嫌疑人张某正是利用了“免密支付”不需要验证码这一“便利”，通过单笔盗刷不超过限额的方式，成功盗刷了大批量人的账户以此牟利。

怎样避免被盗刷？

1

增强安全保护意识

消费者要积极学习常见的金融知识，牢固树立安全防范观念，提高安全保护能力。同时，积极采取有效措施，切实保护自身金融消费安全。

2

科学谨慎设置密码

密码设定一般不要用自己及家人的生日、电话等简单数字，务必求多变，并分级管理。对重要账号可以通过定期修改密码等方式进行多重保护，加强管理。要增强密码保护意识，在银行、商场等公共场合输入密码时，养成遮挡的习惯。

3

谨防未知WIFI

尽量不要随便使用不明来源的免费WIFI，更不要在这种网络环境下登录信用卡、网银账号，或进行网上转账和支付，以防用户名和密码等重要个人信息被盗取。

4

提防伪基站发来短信

诈骗短信内容附带的网址链接，实际上是伪装成各个电信运营商或银行官方网站的钓鱼网站，会诱导用户在页面上填写银行账号、密码等个人信息，并进一步诱骗下载手机病毒。消费者千万不要贪图类似“积分兑换”“积分换电话充值卡”等小便宜，不要点击类似短信中附带的链接。

5

发生盗刷马上采取措施

消费者如果发现被盗刷，要及时采取措施。第一时间拨打相关平台或机构电话说明情况，防止损失继续扩大，并及时报警。

赶紧扩散周知

检查一下支付宝的这个功能吧！

来源：公众号“南京公安”