想從支付寶偷錢？手把手教學，從入門到入土

01 前情提要

在現實生活中，大多數人對黑客一詞有着太多的誤解。
大家普遍認爲，你能夠輕而易舉的盜號、一氣呵成地修電腦、隨隨便便地破解軟件，甚至認爲你能破解支付寶、淘寶，坐擁無數財富！
查開房記錄當綠帽偵探，修手機、修平板、修家用電器的更是不在話下了。

總之，在大家的印象裏，在有關於計算機的所有方面，黑客翻手爲雲、覆手爲雨！

好，你們說黑客這麼厲害，我都信了，我又覺得自己能行了，所以我來小試牛刀看看如何從支付寶裏偷錢吧

02 正常的支付寶支付流程

你說你要是當個小偷，你不得敬業點，先觀察觀察行人平時把喜歡錢包放在哪個位置，之後便於你下手嘛。

同理，要想從支付寶偷錢，我們先得了解一個普通人——張三,他使用支付寶的流程是什麼樣子的。

最簡單的情況下，我們從零開始使用支付寶付款或者轉賬至少要經歷兩個確認步驟。

一是你需要登錄你的支付寶賬號，輸入你的登錄密碼

二是在你需要在付款或轉賬時，輸入你的支付密碼


而除此之外，支付寶還提供了人臉識別、指紋識別、手勢密碼等額外的安全認證服務，在本文中暫且不提。

03 從支付寶偷錢的思路

好，通過上文的逆向思考，我們已經瞭解到，張三使用支付寶必須要輸入登錄密碼、支付密碼。

那作爲黑客來說，是不是說明如果我們知道了張三的支付寶登錄密碼和支付密碼，我們便可以用他賬號裏面的錢給自己買辣條喫呢？


其實我也不知道，但是目前的思路就是這樣：

第一步努力：獲取登錄密碼；

第二步努力：獲取支付密碼；

我們暫且來試試看

04 具體操作方法

1、登錄密碼怎麼破？

我們知道，張三在使用自己的支付寶進行轉賬、付款等操作時，很簡單，登錄支付寶賬號的時候先輸入密碼進入賬戶再說。
而且有的時候張三在付款的時候甚至不用輸入登錄密碼，點進支付寶就已經是登錄狀態了，這是爲什麼呢？

是的，的確有這種情況，但這是有前提條件的。前提條件是是你經常登錄，並且沒有換手機使用支付寶。

在這種情況下，支付寶判斷你賬戶是低風險的，所以支付寶沒有必要每次都讓你輸密碼，免得你嫌它煩！

而與之對應的，如果你在一部手機已經很久沒有使用支付寶了，那當有一天你突然點開支付寶的時候，是需要重新輸入登錄密碼的。

而如果你是換了一部新手機登錄支付寶的情況，登錄則更復雜一些，那麼你不僅要輸入密碼，還要進行二次校驗（短信驗證碼或者回答安全問題）。

所以，以支付寶的嚴苛程度，如果我作爲一名黑客，如果只知道張三的支付寶登錄密碼，也會因爲不知道二次驗證的內容而進入不了張三的支付寶賬號。

那麼，難道作爲黑客的我就沒有辦法了嘛？也不是！我可以從以下幾方面入手：

1）到網絡上到處看看有沒有張三的的身份信息。

我們知道普通人的安全防範意識較弱，甚至有些人身份證、銀行卡信息、手機號信息都直接暴露在互聯網上，而這就是我們的突破口。

要知道支付寶密碼是可以被重置的，而這需要登錄的人提供身份證、銀行卡等一系列信息。

如果這些信息隱私信息都被我掌握了，那麼從某種程度上說，我就是張三了。我登錄張三的支付寶也就輕輕鬆鬆了。

2）張三的手機被我撿到了，並且發現手機沒有鎖屏密碼

拿到這樣一臺裸奔的手機，你不登他的支付寶，簡直對不起張三！

在這種情況下，我會遇到兩種情況

張三在幾天內用過支付寶，那麼，我不用輸入密碼，就能直接登陸了。

張三最近沒有登錄支付寶，我登錄的是時候要輸入登錄密碼，不過不用怕，手機在我手上，我選擇重置密碼，手機接收驗證碼就可以了。

2、支付密碼怎麼破？

現在我已經登錄進張三的賬號了，如果接下來我想用賬戶裏的錢，就需要使用到支付密碼了。

那黑客要怎麼知道張三的支付密碼呢？這裏也有兩個方向可以努力努力：

1）用張三之前泄露的其他登錄密碼嘗試

雖然很少有人會把其他平臺的登錄密碼作爲支付寶支付密碼，但是我們也可以嘗試一下。比如試試看其他平臺密碼的前六位或者後六位，萬一見鬼了呢

2）直接重置張三的支付密碼

其中重置密碼，需要張三的個人信息，或者需要張三的手機。這些信息，我們可能在登錄支付寶賬號步驟就已經瞭解，或者還可以通過翻看張三的手機看看裏面有沒有身份證、銀行卡電子檔信息。

如果我已經掌握了上述這些信息，那麼我很可能重置支付密碼成功

3、可以直接轉賬了嗎？

經歷了以上的兩步，我感覺張三的小金庫已經在和我招手了，我摩拳擦掌，口水都要流下來了。

只見我眼疾手快，在支付寶裏通過手機號搜索到本人的支付寶賬戶，然後點擊轉賬，確認轉賬金額 520 ,之後點擊確認轉賬，結果


或者

嗯？？？什麼意思，臨門一腳，你給我搞這一出，支付寶你一點都不懂的體會我的辛苦!

原來，支付寶安全支付的最後守門員——AlphaRisk 風險控制系統，早就看破一切，就等着看我氣急敗壞的樣子。


那AlphaRisk 風險控制系統到底是如何判斷的呢？

其實我就像個猴子一樣，我之前的所有操作，包括重置登錄密碼、發送手機驗證碼、通過手機號搜索賬號等花裏胡哨的動作， AlphaRisk 都在一旁默默看着呢。

AlphaRisk就像一個經驗豐富的警官一樣，他判斷你是壞人不是無來由的，而是有理有據的。他會從衆多維度來判斷一筆交易的風險程度。比如：設備、環境、偏好、行爲、關係、賬戶、身份、交易，等等。

張三在平時操作支付寶的時候， AlphaRisk 對他的一筆交易都做了極其細緻的評估之後，覺得操作者是個大大的良民纔不攔着的。

而要是其中有多個維度出現問題，就引起 AlphaRisk 的警覺。他會直接強制停止交易、對操作者要求指紋驗證、人臉驗證，手機驗證等，要麼乾脆就截斷交易，凍結賬號。

對於本次黑客的一系列操作來說，AlphaRisk風控系統或許會觀察到以下內容：

1、操作者陌生的手機上登陸該支付寶賬號

2、操作者重置支付寶的登錄密碼

3、操作者重置了支付寶的支付密碼

4、操作者通過手機號搜索了陌生的聯繫人

5、這兩個賬戶之間從未有過直接轉賬且轉賬金額數較大

AlphaRisk風控系統在觀察到以上內容後，就會察覺其中大概率有蹊蹺，於是凍結了張三的賬號。

面對AlphaRisk風控系統的刁難，孤單的我留下了無助的淚水！

05 我的Happy ending

正當我哭的像個孩子的時候，這時候有人上門查水錶了，喜出望外的，我被請進去喝茶、喫飯了。



通過這件事，我深刻的瞭解到，以支付寶的技術和公關實力，可以在最短的時間裏，查清每一筆資金流、追蹤 IP 定位到始作俑者、修復出現的漏洞、控制輿論化解攻擊事件。

毫無疑問，我被AlphaRisk 風險控制系統，一個集衆多安全大牛之力研發的作品，重重地按在地板上摩擦。我發四，我下次不敢了！

所以得出結論：敢從支付寶偷錢？您想早點入土了嘛！

06 一本正經說些什麼

通過上述一個蠢蠢黑客的故事，我想分享給大家一些理念：

正如SRC公告上常說的細則一樣：反對和譴責一切以漏洞測試爲藉口，利用安全漏洞進行破壞、損害用戶利益的黑客行爲，包括但不限於利用漏洞盜取用戶隱私及虛擬財產、入侵業務系統、竊取用戶數據、惡意傳播漏洞或數據。

白帽子要有白帽子的操守，正如知乎大V史中說的，技術可以打下世界，但只有良知可以贏得人心。 世界遼闊，而且，沒有想象中那麼糟。


感謝你這麼帥氣還來閱讀我的文章，如果可以的話不妨點點贊喲，非常感謝你~~~