“离了大谱了!”浙江温州,男子支付宝账户里有10万元黄金理财,共计100多克,坐等涨价,大赚一笔。万万想不到,一天早上,他打开手机,发现自己的100多克黄金全部被低价卖掉了,男子懵了,整晚自己都在睡觉,家里只有一个几岁的女儿,根本不会操作,这什么情况?男子赶紧报警,警方介入调查后,发现黄金被出售后,钱款都转入到男子的农行账户里,有3、4万元已被消费出去。男子不干了,找到支付宝平台讨要说法,客服说没有显示异地登陆,不能证明账户被盗用。 5月26日下午三点多,温州的戴先生喝了点酒,困意上来,倒头就睡。手机就放在床边,屏幕黑着,安安静静。 那部手机里,有他攒了一年多的“家底”——101克黄金。分批买的,均价大概1040元一克,总共十万出头。对普通家庭来说,这不是小数目。 家里只有个几岁的女儿,连手机屏幕都够不着。 接下来的事,说快也真快。 傍晚6点19分,支付密码被改。6点26分,账户里的黄金被全部卖出,成交价跌到992元一克。再之后,卖金所得十多万开始快速转走,几分钟内就花出去好几笔——三万、四万这样拆着走,一部分充了福建国网的电费,一部分流进微店消费。 从改密码到钱被花掉,一共6分钟。 晚上八点,戴先生醒了。拿起手机想看看,发现密码不对。重新设置进去一看,人直接懵了——原本十万多的余额,只剩六万六千多。 他报了警。 警方初步判断,这不像他自己操作。一个人很难在六分钟里完成改密码、卖黄金、分笔消费这一整套动作,而且步骤衔接得这么紧。 可问题是,手机里查不出异常。没有陌生APP,没有奇怪网站。平台后台记录也显示,没有“异地登录”。 后来,支付宝客服给出的回应是:既然没有异地登录,暂时无法证明账户被盗。 这句话一下把事情推到了一个尴尬的位置。因为它只说明了一点——设备没换。但并不能回答一个更关键的问题:那六分钟里,究竟是谁在操作? 密码被改,验证码被用,黄金被清仓,资金被拆分花掉。两道甚至多道验证关卡都过了,而且是在同一台手机上完成的。是有人短暂拿到手机?是验证码被看到?还是某个早就授权过的免密功能留下了后门?没人说得清。 真正掌握全部数据的,是平台。设备指纹、点击轨迹、验证码发送记录、每一步间隔几秒钟——这些都在后台。戴先生能拿出来的,只有交易截图和报警回执。 这种信息差,其实让人挺无力。规则是平台定的,数据在平台手里,最后判断“是否异常”的,也是平台。 更让人疑惑的是,一笔持有了一年多的黄金,突然在几分钟内全部清仓,随后大额资金快速流转——这种操作,难道一点风控提醒都没有?没有触发人脸识别?没有电话核验?哪怕来一条延迟确认的短信? 便捷当然重要,但如果代价是把风控压到几乎感觉不到,那是不是太轻了点。 这事不只是戴先生一个人的烦恼。现在的手机,几乎就是“超级钥匙”。钱包、银行卡、身份证、投资账户,全在里面。大家习惯了扫码、免密、秒到账,也默认大平台“应该很安全”。 可现实是,安全和便利本来就在跷跷板两头。手机随手一放,密码设置简单一点,免密授权长期不清理——平时没事,一旦出事,可能就是几分钟。 骗子未必需要多高科技。也许只是短暂的物理接触,也许只是一次无意间看到验证码。时间很短,但足够。 目前警方已经立案,部分钱款被追回。具体过程还在调查中。平台也表示事情“疑点重重”,建议等警方进一步结论。 从法律上看,这明显涉嫌盗窃。但技术细节隐藏在系统深处,资金又被迅速拆分、转移,追踪起来不会轻松。 更大的问题其实在后面:当一个人的财富、身份、社交几乎都集中在一个APP里,当数字资产成为生活常态,平台说一句“无法证明”,是不是还不够? 如果事前拦截很难,那事后承担责任的机制,是不是该更清晰?所谓“金融级安全”,到底是技术现实,还是宣传口号? 账户越方便,安全堤坝就应该越高。否则,便捷就成了双刃剑。 戴先生那101克黄金,也许最终能追回来一部分,甚至大部分。但那种“睡一觉醒来钱没了”的感觉,恐怕很难恢复。 面对庞大的系统,普通用户能做的实在有限。这种无力感,比黄金本身,更让人发凉。
执念
手机木马呗,转完自动删除