天猫店绑定支付宝账户存漏洞 猜出账户名申请重置成功

　　■本报记者 陈琼珂 通讯员 程欢彦

　　在运营天猫店铺的过程中，方某发现店铺绑定的支付宝账户存在“漏洞”，竟然动起了“歪脑筋”。盗取公司支付宝账户后，方某通过订单贷款的方式向阿里巴巴公司骗取钱款，数额高达250万元。日前，松江区检察院以涉嫌诈骗罪对方某批准逮捕。

　　店主打开系统，发现账户被盗

　　2016年2月底的某日，家住本市松江区的刘某打开自己的淘宝店铺，想查看生意如何。然而，在与淘宝店铺相关联的支付宝贷款业务里，一个数字让他傻了眼，系统里显示，刘某有近100万的贷款需要偿还。意识到自己的支付宝账户被盗，他立即报警。

　　警方迅速展开调查，由于刘某的支付宝密码及绑定的手机号均已被窃贼修改，根据新绑定的手机号及转账账户，警方锁定了嫌疑对象，3月7日在广州将犯罪嫌疑人方某抓获。

　　到案后，方某如实供述了作案经过。

　　就读于计算机系的方某毕业后进入了一家商务服务公司，负责其天猫店铺的运营工作，发现天猫店铺所绑定的支付宝存在一个可被操控的漏洞，决定以此生财。

　　窃贼利用漏洞，顺利走完流程

　　方某首先在天猫上找到一家公司作为目标，添加其为好友，这样就可以看到该公司店铺支付宝的部分账号。由于支付宝的隐私保护设置，账号一般会显示为带有*号的某个邮箱名称，方某就根据这个公司的全称，很快就猜出了其账户名。并且在该公司的天猫主页上，方某对公司上传的工商营业执照扫描件进行了复制收集。接着，方某就联系支付宝客服，要求重置账户信息。客服人员要求其填写公司的邮箱、营业执照注册号以及公司的全称。根据复制下来的营业执照扫描件，方某很快填写完了这些信息，获得了支付宝官方制发的申请表，随后，支付宝客服给其发送了新手机号的绑定链接，方某填入自己的手机号，完成绑定。紧接着，方某就用新绑定的手机号重置该账户的密码，盗取该账户。

　　方某用此手法先后盗取六家公司的支付宝账户，诈骗钱款250余万元。