用户称被“客服”骗走43万
网购诈骗频发 个人信息安全存忧
赵正
近日,一次亚马逊的购物经历,加上一个陌生手机来电,让北京的彭女士一夜之间就损失了40余万元。而这样的事情并不是个案。
如今,网络诈骗已经从电信诈骗蔓延到电商领域,无论是在淘宝、还是亚马逊等电商平台购物,都可能遭遇各种形式的网络诈骗。他们往往以电商平台客服的身份给用户打电话,以商品存在问题或者平台出了故障等原因欺骗用户在自己的账户中进行操作,然后逐渐套取用户的银行卡等信息,最终实施网络诈骗。
最近,有不少用户在上声称自己的亚马逊中国账户被盗,账户里的钱或是不翼而飞,或是遭遇“亚马逊客服”的诈骗电话。一些警惕性差的用户就被骗走钱财,遭遇财产损失,彭女士是其中损失较大的一位。对于网络诈骗分子如何窃取用户的账号信息,是电商平台存在技术漏洞,还是用户自身的账户管理存在疏漏,《中国经营报》记者致电亚马逊中国,亚马逊中国就近期频繁出现的网络购物诈骗做出了相关回应。
43万被“客服”诈走
5月30日,家住北京的彭女士在亚马逊中国的网站上购买了五本书和一个蒸蛋器,5月31日就收到了其中的4本书。6月1日,正在开车的彭女士接到了一个170开头的手机号打来的电话,声称是亚马逊中国的客服人员,告诉彭女士因为亚马逊的系统出现故障,其购买的商品须先办理退货,需要彭女士协助在账号中进行操作。
由于所谓的“亚马逊中国客服”知道彭女士的送货地址和购物的内容等真实信息,所以彭女士对这位“亚马逊中国客服”的身份深信不疑。
之后,彭女士按照“客服”的要求点开亚马逊官方APP软件的订单详情,发现正如“客服”所说,所有货物已处于退货状态。该“客服”告知彭女士可在个人信息查看有关此次系统故障的亚马逊通知。彭女士点开个人账户信息中的收货地址中发现确实有此次系统故障导致退货的通知。
据彭女士回忆,退货通知中,其中一条内容是“针对此系统故障导致客户的账户被锁定,解决方案是下拨1.5万元~30万元人民币激活资金至客户的退款账户。”“退款方式请到ogsgn.xiaodangjia.asia页面进行操作。”“亚马逊企业法人是万瑞雪,对公账户为:6230520010007697078。”等内容。
由于相信该“客服”是亚马逊中国的客服人员,在该“客服”的引导下彭女士进入了退款页面,被“客服”诈骗了43万元到万瑞雪的银行账户。事后,在意识到被诈骗后,彭女士迅速到派出所报案,由于涉案金额特别巨大,该案件已被刑事立案调查。
像彭女士这样遭遇假客服欺诈的案例并非个案。广州的刘女士也曾在2017年4月接到“亚马逊中国客服”人员的电话,声称其购买的商品存在质量问题需要退款,并要求刘女士在一个网页链接里输入网银账号、密码等信息。刘女士照做之后发现账户内被扣款16.7万元。电信网络诈骗中心在接到报案和投诉后,指导刘女士找回网银密码,并赎回了被不法分子购买理财产品的资金,减少了损失。
在网络专家、DCCI研究院院长刘兴亮看来,屡屡发生的网购诈骗案都是不法分子冒充电商平台的客服身份对用户进行诈骗,由于他们获取了用户信息,导致一部分用户对其身份深信不疑,最终导致了钱财的巨大损失。
账号为什么会被盗?
对于彭女士以及其他被骗用户的遭遇,亚马逊中国向《中国经营报》记者表示:针对彭女士反映的情况亚马逊中国非常关注,并始终与该用户保持沟通。已建议彭女士第一时间向警方求助,亚马逊将尽最大努力配合警方调查,竭力维护消费者利益。
针对彭女士的账号被盗取的情况,亚马逊中国相关负责人告诉记者,亚马逊非常重视消费者隐私保护,在用户信息处理与保护等方面拥有极其严格的安全机制。但由于网络安全涉及诸多环节,无法排除客户信息通过其他渠道被盗取的可能性。如果客户使用邮箱注册,一旦其第三方邮箱账户被侵入,其使用同一信息注册的网站账户信息将会存在泄露的隐患。
为了提醒客户对类似诈骗保持警惕,2016年下半年以来,亚马逊中国通过短信、邮件、APP推送等多种方式,以及在亚马逊官方网站移动端及电脑端对亚马逊用户进行安全提醒,提示消费者不要轻易点击不明来源的链接,或者进行任何可能为自己带来损失的关联操作。
据对网络诈骗颇有研究的刘兴亮介绍,用户账号被盗存在三种可能:第一种是网站技术存在漏洞,容易被黑客攻击;第二种是网站内部员工偷卖用户信息,为个人谋取私利;第三种是“扫号撞库”,这是一种黑客行为,通过攻击一些风险不高的网站和论坛,获取用户的密码,然后尝试以这些用户名和密码登录购物网站的账号,如果一些用户名和密码在不同网站上共用,黑客就可以轻松进入电商平台的用户账号,获取其购物信息,从而实施网络诈骗。
“从目前的实际情况看,第一种的可能性比较小,随着各大电商平台技术的完善,出现这种漏洞的可能性微乎其微。相反,‘扫号撞库’的可能性很大,并且目前已经形成了一条灰色产业链。”刘兴亮表示。
而游侠安全网创始人张百川表示,一些平台的用户信息之所以遭到泄露,是因为缺少对“撞库攻击”的防范。黑客盗取某些网站的数据库售卖给信息贩子,之后信息再流到骗子手中后实施诈骗。
亚马逊中国相关负责人表示,针对诈骗分子不断变换的行骗手段,亚马逊还采取了一系列行动,包括:关闭了亚马逊网站用户个人主页编辑功能、隐藏订单功能,冻结心愿单编辑功能,以此阻止诈骗分子植入钓鱼链接。
个人安全意识有待提高
事实上,任何一种形式和手段的网络诈骗都并非无懈可击,而是存在明显的破绽和漏洞,只要消费者稍微警惕一些就可以识破。对于自己的受骗经历,彭女士坦言:“当时看到170这个手机号的时候确实疏忽了,常规的电商客服电话不可能以手机的方式打过来。”
亚马逊中国相关负责人告诉记者,亚马逊客服不会使用个人手机号码与消费者联系,更不会以任何链接的形式向消费者索取或引导消费者输入银行卡密码、验证码等个人隐私信息。
“地址栏是用户进行地址编辑和管理的栏目,亚马逊不会在地址栏发布任何退换货信息或更新订单状态的通知,更不会添加链接。如果用户在地址栏发现地址以外的信息,应保持高度警惕,更不要盲目轻信诈骗分子的引导点击任何不明链接。”这位负责人表示。
在刘兴亮看来,用户的账号之所以被盗,也与用户对账号管理过于粗放有关,由于担心忘记密码,很多用户在各个网站上使用的账号和密码大多是共用的,而且密码不是自己的生日就是手机号后6位,很容易被破解。因此,刘兴亮建议用户最好每个网站的账户名和密码都不同,而且要不定期地更改账号密码。
亚马逊中国也建议,不要将账户信息和密码与其他网站共享使用,要定期更改账户登录密码,同时确保更改密码后电脑端、移动端的账户立即退出并重新登录,以保证账户信息同步、安全。
“此外,把握好一条,就是保护好自己的支付渠道。当不法分子以退货等名义要求获得支付渠道信息时,不要相信会飞来横财,退税、退款、补偿等信息都不要相信。如果是电商平台的退款、补偿,都会按照之前的支付渠道自动退回去,而无需再告知对方。”刘兴亮表示。