微信支付现漏洞：可绕开卡密码3分钟转走银行卡余额

　　如果你去餐馆吃饭，把手机和钱包放在座位上，而钱包里有身份证和银行卡。在不知道银行卡密码的情况下，只要3分钟时间，坏人就能把你银行卡里的钱转走。听到这个消息，你会吃惊吗?这绝非耸人听闻，上述情况是记者亲身体验确认证实的，体验是在360手机安全专家指导下进行的。对于手机微信支付的安全隐患，本报予以独家披露。

　　绕开密码3分钟转走卡里钱

　　本次体验采访假定的情节是，记者拿到了陌生人未保管好的手机和钱包，钱包里有身份证和银行卡，且银行卡预留手机号为本机号码。

　　记者登录微信后，使用自己和对方手机将两人加为微信好友。

　　记者使用对方手机，进入微信支付“钱包”界面，将对方手机微信账号和对方的银行卡绑定。绑定前，记者需要填写对方的银行卡卡号。对方手机收到系统发来的短信验证码后，记者按提示把验证码输入到微信操作界面，显示绑定成功。

　　绑定时，微信会要求设定支付密码。记者在对方手机微信内设置了支付密码。记者在对方微信通讯录内找到了自己的微信账号，点击转账。记者把刚才设置的支付密码输入一遍后，系统显示转账成功，转账金额为1元钱。很快，对方手机就接到了银行账户余额变动的提示，账户余额少了1元。

　　整个过程耗时3分钟

　　从拿到对方的手机和钱包，到绑定成功再到转账完毕，整个过程只耗时3分钟。如果实施操作的是别有用心的不法人员，后果将不堪设想。

　　对于体验结果，记者随机采访了几位市民，他们脸上满是惊讶的表情。“天哪，我经常把手机、银行卡和身份证放在一起，想不到有如此严重的安全隐患!”市民吴女士说。“以后可得加小心了，万一手机、银行卡和身份证一起丢了，万一吃饭去厕所时被坏人盯上了……3分钟，可能就是系个鞋带的工夫。”

　　记者获悉，在微信支付转账金额方面，已绑卡开通微信支付的用户每日最高转账金额为2万元，未绑卡开通微信支付的用户每日最高可转账金额为200元;已绑卡开通微信支付的用户每日收款最高额为2万元，未绑卡用户最高收款额为3000元。若收款方在1日内未予确认，款项将会退还给支付方。

　　转账为啥不需要银行卡密码

　　记者体验时发现，用户登录微信后，一段时间之内是不需要重新输入密码登录系统的。所以，记者拿到了陌生人的手机，可直接对其微信账号进行操作。转账时，需要输入设定好的微信支付密码，而不是银行卡密码;并且，由于是记者用对方手机绑定了微信和银行卡，支付密码是记者设置的。因而，记者才能成功转账。那么，微信支付转账为何不需要银行卡密码呢?

　　对此，360安全专家陈冲说，微信支付以绑定银行卡的快捷支付为基础，与其他第三方支付平台一样，采用标准的快捷支付机制：即用户购买商品时，不需开通网银，只需提供银行卡卡号、户名、手机号码等信息，银行验证手机号码正确性后，第三方支付发送手机动态口令到用户手机号上，用户输入正确的手机动态口令，完成支付。手机短信验证替代银行密码，在方便市民操作的同时，也留下了安全隐患。

　　陈冲建议，市民尽量不要把手机、银行卡和身份证放在一起，如果被“连窝端”，将会留下严重的安全隐患。另外，市民要给手机设置一个相对复杂的解锁密码，如此不法人员就难以对手机进行操作。