自从支付宝 7.0 新版发布以后,在线下支付的场景已经大大的扩展,扩展到了什么程度呢——刚刚过去的一周时间,我的 所有 消费都是通过支付宝进行的。在创业大街上所有的商家全都支持支付宝付款,拿着手机过去,收银员一扫就支付成功了。
也有例外。在三里屯华堂超市使用支付宝付款的时候,是他们第一天安装使用, 扫码之后半天时间没反应,但是在我这边却收到了扣款通知 。我不得不拿出自己的银行卡再刷一遍。服务台说他们不会进行任何操作,能做的只有等待,不过速度应该会很快。确实如此, 大约 3 个小时以后我收到了来自支付宝的退款通知 。华堂说在安装的第一天已经发生了四笔因为信号差而导致支付不成功的案例。只要等上一段时间,款项就会退回支付宝账户当中。
不过跟刚发生的事情相比,这都不算什么。这也是为啥我临时换下了本应在今天发布的内容来写这个。
早上 10:02,正在手机上刷微博的我看到任务栏有点异常。
“您有一笔 1.00 元的交易付款成功,感谢您信任支付宝!”
点了一下发现,这是“我”付给 “金华比奇网络技术有限公司” 的,商品信息是 “5173 游戏交易网”。紧接着,在接下来的两分钟之内又有 3 笔付款发生,一次 9 块钱。
账户被盗了!我赶紧打开支付宝到处找应该怎么挂失。挂失在哪儿呢?商家?朋友?财富?最后点击头像就找到了。路径是 头像-设置-账户安全-安全中心-快速挂失 。里面只有一句话:“你可拨打 95188 快速挂失”。
我就拨通了 95188,此时是 10:04。语音提示 按 3 进入“账户被盗,挂失”, 按“1”开始挂失 。然后 要输入全部的身份证号码,以#号键结束 。输入之后,系统提示 “你的账号不能够自动挂失,将转接到人工服务”。
在星期一的早上接通人工服务的速度非常快,大概只有 10 秒钟。客服听完了我介绍情况之后向我询问了下列信息:
- 我的身份证号后 8 位(也就是从出生的月份开始);
- 我的账户名称(可以提供电子邮箱或者手机号码);
- 我平时在哪里登陆;是否有在某地登陆过(这个地区是怀疑骗子登陆的地区,不过写稿子时候已经忘记是哪了——是浙江么?);
- 我的账户余额是多少(打电话过程中使用手机,所以无法查看余额);
- 捆绑了多少银行卡(最好能够说出所有银行卡的发卡行和其中某一张卡的卡号);
- 确认哪几笔交易是我怀疑被盗的(需要尽可能准确的描述,比如“连续几笔发到这个游戏公司的都是,我也从没在这里消费过,之前如果有这家的付款也不是我付的”)。
在弄清楚这些内容之后,很快就安排了赔付,客服问我在这段时间 是同意支付宝监视我的账户,还是自己修改密码 。“监视”其实基本等于“冻结”,在这段时间之内我无法对账户操作,也没有人可以给我的账户打款。如果到时全款退回来的时候,还需要我先解冻账户。 所以客服建议我不“监视”而是修改密码 。在挂掉电话之后,支付宝还发来短信告诉我如何去修改密码。
【支付宝】您好!手机打开支付宝钱包→点击【头像】(左上角)→【设置】→【账户安全】→【重置登陆密码】/【重置支付密码】,按提示修改密码。 感谢您的支持!
打完电话之后回来是 10:08,我迅速修改了密码。不过, 手机可以修改的支付密码只有 6 位数字的那种 。接下来我还修改了登陆密码,为了排除有木马监视手机短信的嫌疑,我选择 通过邮箱账户发送验证码 ,完成了密码修改。
这时,我看到账户当中又有一笔“5173 游戏交易网”的交易,产生于 10:10,不过因为密码已经修改,现在他只能是“等待付款”。我毫不犹豫的按下了“删除”。
我还发现了一条来自支付宝的短信验证码(“校验码打死都不能告诉别人哦!唯一热线 95188”)。时间是 10:05,看来 在我打电话进入人工服务的当时,账户就已经在半冻结状态了。
在 10:13,28 块钱的补偿款已经到账。此时距第一笔付款正好 10 分钟。 先行赔付的这笔钱是来自升级到 7.0 以后支付宝赠送的账户保险,第一年免费,以后每年 1 元的那个。短信表示:
【支付宝】您在支付宝申请的补偿款已经打至您的支付宝账户。如果后续我们发现您有虚假陈述或提供资料不实,我们保留向您追偿乃至向司法机关报案的权利。
总体来说,我对这次被盗后处理的过程非常满意, 但是回想起事件发生的过程,以及我有可能在什么地方出现了漏洞,却依然让我心有余悸。如果我不是第一时间发现了危险,如果看到时候已经细水长流的损失了几百甚至更多,是否会节外生枝更加麻烦呢?
以下是我自己给大家的一些建议,也算是亡羊补牢,为时未晚:
- 关闭小额免密支付(这个我上次就说过)。小额免密支付是默认关闭的,并未设置过的不用担心;
- 使用尽可能少的支付方式 ,不要手机、网页、手环(现在支付宝支持小米手环支付)等混用,便于查找问题源头;
- 尽量少在特殊网络环境下(比如公共 WiFi 或者企业 VPN 等环境)支付 ,这样支付位置的定位和你本人所在的位置是尽量统一的。做到这一点其实很简单,只用手机支付,支付时断掉 WiFi,使用手机 3G 或 4G 网络支付;
- 不要关闭支付宝的系统通知栏显示,不要杀死它的后台运行 ,支付宝现在的付款不通过短信提醒,只有打开客户端才能收到;
- 账户安全险是自愿投保的,但经过此事, 建议大家都投保。
- 牢记支付宝唯一客服电话 95188,24 小时开通,快速挂失是 95188-3-1-输入身份证号码(不用听语音提示了)。
还有给支付宝的一点吐槽:
挂失入口做得太深了 ,有需要时不容易发现,建议在首屏有一个体现;
建议 95188 客服可以 远程关闭用户某个不常用的支付通道 。比如,我从来不用网页付款,即使在浏览器产生的交易我也会扫码转移到手机上支付,这时我可以拨打 95188 让客服关闭网页收银台,等我确有需要的时候再拨打 95188 开通。
看到最后就附赠一个惊喜发现: 7.0 出来时候大受吐槽的手势密码功能已经回来了! 点击 头像-设置-账户安全-手势 ,设置好的手势密码 只在查看余额和账单时候启用 ,既保护了隐私又不影响你把支付宝当微信用。但出于可以理解的原因,从没看到过支付宝高调宣传过手势密码的回归