骗局核心套路:一条短信 + 一个伪基站

整个诈骗的起点几乎都是一条看似来自支付宝官方的短信或微信消息。最典型的话术是"尊敬的用户,您的支付宝账户因存在异常交易已被冻结,请在24小时内点击下方链接完成身份核验,否则账户将被永久封停"。短信末尾附带一个看起来正规的链接,比如alipay-verify.cn、alipay-cn.top、alipay-kefu.com等仿冒域名。

有时第一步换成电话。一个自称"支付宝安全部门工作人员"的声音用普通话或带本地口音的方言告诉您,"您的账户被卷入洗钱案件,需要配合资金清查"。来电号码可能是普通11位手机号、虚拟运营商170/171号段,甚至是经过号码伪造(伪基站或网络改号)显示为"95188"的来电。蚂蚁集团安全中心多次公开声明,95188是其唯一官方客服短代码,并且只接受用户主动呼入,不会主动外呼要求转账、读验证码或下载第三方App。

无论入口是短信还是电话,所有变种最终都指向同一个动作 - 让受害人在一个看起来像支付宝登录页的钓鱼网站上输入手机号、登录密码、支付密码以及6位短信验证码。这套钓鱼前端通常是攻击者实时操作的AiTM(Adversary in the Middle)中间人代理,受害人输入的每一项凭据都同步发送给攻击者,攻击者在另一端立刻使用真凭据登录真支付宝。

6种当前活跃的诈骗变种

1. 账户冻结类

最经典的模板。"检测到异常登录"、"涉嫌违规交易"、"需要身份核验"是核心关键词。央视2025年至2026年多次专题报道这一变种,受害群体以中老年用户为主,但近期也出现专门针对年轻打工人群的版本,利用"账户冻结将影响信用记录、贷款审批、租房押金退还"等新焦虑点制造紧迫感。

2. 会员到期类

骗子声称您开通了"支付宝VIP会员"、"芝麻信用Pro"、"借呗白名单服务"等子虚乌有的付费服务,年费800元至2000元不等,"已自动从余额扣款"。受害者拨打短信里留的"客服回拨电话"时,对方会以"取消订阅必须先验证账户"为由,引导进入钓鱼链接或直接读取验证码。

3. 额度提升类

"恭喜您,花呗额度可提升至50000元,请点击下方链接完成提额申请"。受害者点击后看到一个完整模仿支付宝App内提额页面的伪造站点,输入凭据后,攻击者不仅没有提升额度,反而消费掉现有花呗余额并转走支付宝余额。这种变种特别针对收入正在上升、确实有提额需求的群体,转化率较高。

4. 退款类

骗子伪装成淘宝、拼多多、京东商家客服,告知"您之前购买的某商品存在质量问题,已为您办理全额退款",由于"系统升级"无法直接退到原账户,必须通过"支付宝财务通道"完成。流程中要求受害者提供支付宝账户信息和验证码,"以便核对身份"。中国银保监会2025年发布的金融消费者权益保护警示中专门列举了这一变种。

5. 客服回访类

来电自称是"支付宝客户体验回访",跟进一个您从未提交过的"工单"。话术高度脚本化,例如"先生/女士您好,我是支付宝服务质量回访员工号XXX,您上周提交的关于交易失败的工单我们这边已经处理完成,需要您配合做一个简短的身份核验"。一旦您表示困惑(因为根本没提交过工单),对方会迅速切换为"那可能是有人盗用您的身份提交工单,必须立即核验账户安全",无缝过渡到钓鱼流程。

6. 花呗/借呗诈骗

"您的花呗分期付款失败,可能影响征信"、"借呗到期未还款,已上报央行征信中心"。这一变种利用大量用户对征信记录的高度焦虑,引导受害者点击"立即处理"链接,进入伪造的还款页面。攻击者既能在这一步直接吸走付款,也能在背后同步登录受害者真实账户进行大额转账。

陷阱本质:AiTM中间人钓鱼的实时性

很多人以为,"我没在网站上填密码,就不会被盗"。但是2026年活跃的支付宝诈骗已经全面升级到AiTM代理模式。流程是这样的:

  • 受害者点击短信里的链接,看到一个像素级仿造的支付宝登录页。
  • 受害者输入手机号 - 这条数据实时发送到攻击者的服务器。
  • 攻击者立刻在真实支付宝(alipay.com)使用这个手机号触发登录。
  • 真实支付宝向受害者手机发送6位短信验证码。
  • 受害者以为是"身份核验",把刚收到的验证码输入到钓鱼网站。
  • 攻击者从钓鱼后台抓取验证码,立刻完成真实支付宝的登录。
  • 受害者输入支付密码 - 攻击者同步在真支付宝端发起转账并使用相同密码确认。

整个过程从打开链接到资金被转走,攻击者熟练时可以在90秒内完成。这就是为什么任何"验证码不要告诉别人"的提醒在这种实时代理面前都显得苍白 - 用户以为自己在和支付宝交互,输入到自己手机收到的验证码"理所应当安全",但实际上他们正在为攻击者的真实登录做实时授权。

为什么支付宝用户是首要目标

中国移动支付市场支付宝市占率长期在50%以上,活跃用户超过10亿,这意味着随便一条钓鱼短信发出去,命中率天然就比其他品牌高。但更关键的原因在于支付宝账户的资产密度:

  • 余额 + 余额宝:很多用户把数万元到数十万元闲置资金存在余额宝里赚取货币基金收益,登录密码一旦泄露可以一键赎回并转走。
  • 花呗 + 借呗:信用额度本身就是可立即变现的资金,攻击者甚至不需要受害者账户里有钱,直接消费花呗、申请借呗放款转出。
  • 关联银行卡:支付宝绑定的银行卡通常支持"快捷支付",在攻击者掌握支付密码后可以连同银行卡余额一起被扫荡。
  • 支付宝内部投资产品:基金、黄金、理财、保险,部分赎回到账后会被立刻转走。
  • 芝麻信用关联服务:免押金租赁、信用借贷、信用购物等场景的盗用风险。

所以从攻击者ROI(投入产出比)的角度,针对支付宝用户钓鱼是中文互联网最赚钱的几条钓鱼流水线之一,这也是为什么这一变种几年来不断升级。

7个高准确度识别信号

掌握下面这7条规则,可以拦截绝大部分变种:

  • 短信发件号码不是95188短代码:真支付宝官方通知100%通过95188这个工信部备案的金融短代码发送。任何11位普通手机号、170/171/162虚拟运营商号段,或者伪装成境外号码、未知国际号码的"支付宝短信"都是诈骗。
  • 链接域名不是alipay.com或alipay-public.com:支付宝官方仅使用这两个主域名以及少量子域名(如mobilecodec.alipay.com、render.alipay.com)。任何其他形式如alipay-cn.xyz、alipay-verify.top、alipays-kefu.com、alipay.xn--xx等都是仿冒。
  • 电话/短信索要验证码:真正的支付宝客服永远不会要求您口头报出短信验证码、支付密码或人脸验证内容。一旦对方要求这些,无论包装得多专业,立即挂断。
  • 制造24小时倒计时:紧迫感是社会工程学最常用的工具。"24小时内不处理将永久冻结"、"2小时内未还款上报征信",真支付宝从不使用这种威胁式话术。
  • 要求输入登录密码、支付密码或助记词:钱包助记词更是和支付宝完全无关的概念,一旦"客服"提到"输入12个助记词"或"提供数字钱包私钥",毫无疑问是诈骗。
  • 客服来电是普通手机号不是95188:再次强调,95188是双向认证的,真客服只在您主动拨入时接通。主动外呼您的客服无一例外都是冒充。
  • 话术模仿支付宝但提及非支付宝功能:要求您下载第三方App(如"安全卫士"、"屏幕共享"工具)、要求您在ATM机操作、要求您去银行柜台办理"反洗钱解冻"等,这些都不是支付宝的真实业务流程,是典型的诈骗信号。

真支付宝是怎么沟通的

蚂蚁集团安全中心和支付宝官方安全公告反复强调以下三条事实:

  • 支付宝官方通知的唯一渠道是支付宝App内"消息中心",重要安全事件还会通过弹窗强制提醒。
  • SMS短信只用于发送验证码或最简短的状态通知,发件方一律是95188短代码
  • 客服热线95188只接受用户主动呼入,工作人员不会主动外呼用户索要任何凭据。

记住这三条,就能识破绝大多数假冒客服戏码。如果一条信息违反其中任何一条规则,无论它看起来多像官方,都应当默认为诈骗。

怀疑是诈骗?5步自查法

  1. 直接打开支付宝App,不要通过短信链接、邮件链接或扫码进入。在App首页查看是否有任何账户冻结提示或安全通知。
  2. 检查消息中心。点击右上角铃铛图标,所有官方通知都会出现在这里。如果消息中心没有,那条短信几乎100%是假的。
  3. 手动输入alipay.com登录。如果想在电脑端核实,打开浏览器手动键入alipay.com(不要复制链接),用密码加二次验证登录后查看账户状态。
  4. 主动拨打95188。挂掉所有可疑来电后,自己用手机直拨95188,转人工客服核实账户状态。永远是您打过去,不是他们打过来。
  5. 验证码绝不外泄。无论对方是"客服"、"民警"、"银行"、"老板"还是"家人",6位短信验证码就是您账户的最后一道门,任何人索要都是诈骗。

如果已经输入了密码:紧急处理流程

怀疑账户已经泄露后,每一分钟都很关键。按以下顺序操作:

  1. 立即修改密码。打开支付宝App进入"我的 - 设置 - 安全中心 - 密码管理",同时修改登录密码和支付密码。如果发现已经无法登录,说明攻击者已修改密码,跳到第3步。
  2. 冻结余额宝资金。进入"余额宝 - 设置 - 余额宝服务"暂停自动转入,并将余额宝资金转出到余额(如果可以)。冻结目的是切断攻击者的快速变现通道。
  3. 拨打95188挂失账户。告知客服账户被盗,要求立即冻结账户。客服会引导您完成身份验证并执行紧急冻结。
  4. 报案。同时在国家反诈中心App或拨打110报案。国家反诈中心App支持在线提交诈骗信息、转账截图、聊天记录等证据,公安机关会立即介入资金链路追查,部分案件可以在24小时内冻结涉案账户。
  5. 联系银行反欺诈热线。所有绑定支付宝的银行卡都要打电话告知"账户已被盗用",请求暂停快捷支付通道。各银行反欺诈热线通常在银行卡背面或银行官方App内可查。
  6. 查询花呗和借呗。检查"花呗 - 账单"和"借呗 - 借款记录",截图所有异常交易,作为后续申诉材料。
  7. 申请安全险赔付。如果开通了账户安全险(年费几元到几十元),按照"我的客服 - 在线服务"流程提交赔付申请,需要提供报案回执、异常交易截图、密码修改记录。

同类变种 - 微信支付、京东金融、云闪付

同样的钓鱼套路也广泛应用于微信支付("微信支付分异常"、"零钱被冻结")、京东金融("白条到期"、"京东金条催收")以及云闪付/银联("银行卡被盗刷")。识别原则完全一致:

  • 微信官方通知通过10690等运营商短代码或微信内"服务通知"发送。
  • 京东金融官方客服为950618
  • 云闪付客服为95516

所有这些平台都遵循"短代码 + App内通知 + 用户主动呼入"的三大原则。任何破坏这三条的信息,都视为诈骗。

SafeBrowz 如何拦截支付宝钓鱼站

SafeBrowz 浏览器扩展把支付宝列为重点保护品牌之一,包含在我们539个监控品牌名单内。当您访问任何不属于alipay.com或alipay-public.com的"支付宝"页面时,扩展会做三件事:

  • 域名层检测:实时比对域名与品牌官方域名清单,发现错位立即弹窗警告。
  • 页面内容分析:识别页面是否使用了支付宝品牌色、Logo、关键字(如"支付宝"、"Alipay"、"95188"),叠加域名信号判定钓鱼。
  • AI深度扫描:高级版用户在可疑页面上自动触发AI深度扫描,识别精心伪造的AiTM代理页和动态加载的钓鱼模板。

免费版即可拦截大多数支付宝仿冒域名 - 我们已经把已知的alipay-cn.xyz、alipay-verify.top等典型仿冒域名加入黑名单,并每日更新。SafeBrowz 扩展对Chrome、Firefox、Edge永久免费。高级版每年14.99美元,覆盖3台设备,增加AI深度扫描、钱包盗刷器实时检测、剪贴板劫持防护。

给家人朋友的简明版要点

如果您打算把这篇文章转给家里的长辈或朋友,下面三条可以单独记忆,覆盖80%以上的支付宝诈骗:

  • 支付宝官方电话只有一个:95188,并且只有您打过去,不会主动打给您。
  • 验证码就是钱:任何人索要短信验证码都是诈骗,不分场景、不分身份。
  • 账户问题只看App:打开支付宝App查看消息中心,不要点任何短信里的链接。