看了那个帖子我试了一下旁路攻击的策略，用不同手机新注册一个使用相同实名认证的账号看看需要哪些信息，以下是整个流程，其中新手机号为我的流量卡号，模拟骗子自己的手机号，旧手机号即丢失的手机号，是绑定在银行卡上的手机号

1. 新手机号+验证码注册，这就不说了
2. 实名认证，这一步我本来直接点添加卡，从添加卡那个路径实名认证一直跳有风险拒绝，本来还想夸一下支付宝的风控，然而我退出添加卡的页面，他直接跳出来是否实名认证，跟着这个链接我直接输入sfz+名字，他提示实名认证成功？？？（我大号肯定已经实名认证上传过sfz了，难道就因为这个？？？所以小号就不验证的么？）
3. 绑卡，就像那个文章说的，因为你已经实名认证了，银行直接通过认证信息来查找银行卡，你的所有卡都在里面，而绑定快捷支付只需要旧手机的验证码就可以完成
4. 都绑到账号了这能做什么就不用我说了吧………

总结一下，骗子通过他自己的手机号注册一个新的支付宝账号，然后用受害人的实名信息进行实名认证，需要哪些信息呢？sfz号码+姓名+绑定银行卡的sim卡，不需要任何其他信息，不需要人脸识别，不需要任何一个银行卡号，就可以获得受害人所有银行卡的所有信息，包括转账权限，这个比那篇文章写的还要简单，坛友们注意安全吧

你的流量卡号码是实名的吗？

安全认证基于sim卡，因为这是唯一国家强制要求实名认证的，然鹅运营商问题还是很大

我记得买联通的流量卡时就已经提交身份证实名了

SIM卡本来就是身份验证的凭证，如果自己弄丢了又没有设置Pin码验证，那出啥结果都不奇怪了

我用我的sfz注册了一个手机小号，然后拿二号备机注册了一个支付宝账号，然后拿家里人的sfz去实名认证成功了，支付宝的实名认证和运营商不是一套系统

支付宝的实名认证系统和运营商的不是通的，支付宝拿不到运营商的数据

所有手机实名认证调取的是ga接口

你试试用家里人身份证实名验证的支付宝能不能绑定你名下的卡

这肯定不行啊，但是支付宝绑定的手机号在运营商那里登记的身份信息是我的，支付宝的实名认证是家里人的身份信息这个是没错的，至少支付宝没做相关的验证是肯定的

有银行卡和绑定的能收短信的手机卡，这已经是强认证了，，支付还要支付密码的
再结合网络环境，sim卡，常用ip等待

因为这一步没涉及到身份验证啊，一旦涉及到金融交易就需要你双重验证了

1.运营商sim卡实名认证相当于企业法人，认证sim卡的人可以不是号码使用者
2.金融系统如银行为用户办理绑定sim卡时，办理人签字认可该sim卡号码为银行卡使用人，相当于该sim卡使用者拥有绑定银行卡全权
3.支付宝认证实名同样相当于法人，当认证支付宝使用的sim卡已绑定过金融系统时，只要提供正确的sim对应绑定信息，支付宝可向金融系统核对，如核对成功则视为成功
4.企业银行账户与支付宝账户同样流程，但是企业用户一般还有一道或多道sim卡短信之外的认证，所以受害多为个人账户
5.运营商和金融系统身份认证的确不通，但是目前来说也没有必要非通不可，不如说通了反而阻碍业务，但是网络支付平台身份信息是从金融系统获取的
6.根源还是需要个人保护好绑定过银行卡的sim卡，因为其他身份信息泄露的地方太多了，甚至有特意根据身份信息撞库银行卡的案例，手机app的权限问题也将是今后整治重点

双重验证验证的是银行卡绑定的手机号，在这个场景下，银行卡绑定手机号的sim卡已经被骗子拿到了，这个认证显然不是问题

兄弟专业，但是有一条，支付宝在绑定银行卡时，只验证身份证号与用户自己输入的手机号码，不会要求支付宝注册号码与用户号码相同，这样当然方便，但是这会导致一个问题，因为支付宝在实名认证的时候也没有实名认证与手机号机主的对应关系，这就导致任何一个手机号，只要这个人知道一个人的身份证姓名与银行绑定sim卡，那他就有了那个人所有银行卡的交易权限，sim卡，可以通过丢手机这个场景获得，而手机对应机主信息，按文中一部分国家机关安全审计不足可能泄漏，或者据我了解，地下黑产，手机号反查机主信息这样的服务并不贵，不会超过100块，这显然是一个隐藏的风险点

我记得支付宝还是参考IP地址、手机机身号等信息的，还会把你的家人、朋友关联起来。

自从appleid需要两步验证之后就开启了sim卡pin，就是担心这种情况，

那手机设置锁屏密码，sim卡设置pin。只要这两个没被破解，这漏洞就没用了。

现阶段一切网络金融平台都是排除sim卡丢失后不主动挂失并继续被使用这个场景的，不然业务全都无法展开。
当然这点信用卡更烂，信用卡丢了还能直接使用，仿制成本也比sim卡更低，防范风险主要还是靠用户主动挂失

我觉得问题的关键不在于用户丢sim卡以后究竟会不会挂失，而是支付宝对于同一个人多个账户实名认证处理的问题，现阶段只需要姓名和身份证这个我无法理解，支付宝完全可以比如每个账户实名认证时都需要脸部识别/身份证照片/银行卡认证，或者每个人开设新账户时需要通过已有账户做二次验证，这些显然都在现有技术可以实现的范畴，也不会对用户造成太多影响，毕竟注册小号是一个超低频行为了，也完全可以避免这个场景下的问题

这种验证流程支付宝都是尽量简单化，实际他的后台还是会很复杂吧。
他可能分析到你的新手机号还是你自己实名办理的，然后新账户也是用的你自己的手机来操作认证，网络也是连的你家里的等等等等，如果达成以上几个条件就基本能判断就是本人操作了吧。
专业的我也不懂，但我记得我在新手机上登录账号付款，如果是在自己家里操作流程就很简单。如果在外面用新手机登录账号付款就需要很多验证流程

只要手机号码绑定了银行卡，那么这张sim卡的pin密码必须开启，这也是为了保护自己的财产！
既然sim卡有这层保护，就是用来应对手机丢失的，为什么不开启pin密码加一层保护呢？