问当当网 谁泄露了我的网购信息?
11月18日为了给磐石有声群友送签名的《解密小米》,我在当当上购买了多本该书。11月19日下午,收到一个来自浙江宁波的131号段来电。自称是当当网店主,并准确叫出我的姓名,以及购物的时间、内容。
作为一名多年从事反诈骗相关工作的人,我第一时间已经意识到我在遭遇一场骗局。所以就顺势不打草惊蛇,听完了骗子的所有解释,并按照要求加了对方的QQ。接下来,我就和大家谈谈这种“网购退款”诈骗,希望在网购普及的时代让大家都能远离诈骗。
骗子编的故事很真实
131号段拨打电话自称当当客服,并表示我昨日购买的书籍,因支付宝系统问题,支付未成功,需要办理退款。
图:骗子的QQ号
接着向我索要QQ号码,要求加了QQ后,这时一个名为“订单客服”,头像为阿里旺旺图标的QQ加我好友后立即发来一条网址,网址打开后在页面最上方是淘宝的LOGO,然后是一个输入淘宝账号、密码的登录框。显然,这个网址并非支付宝官方网址,骗子的“马脚”已经开始露出。
图:假冒支付宝的网址
我告诉他,这条网址被安全软件拦截了,是诈骗网址。对方很生气的说:“你赶紧将安全软件卸掉,免得退款失败!”并在QQ上截图给我。眼看戏没法继续演下去,我说:“你这个小伎俩骗不了我,立即滚蛋!”对方啪得挂了电话。
谁泄露了我的网购信息?
我在当当网上购物选择的是自营书籍,并非在第三方店铺购买。那么,谁泄露了我的网购信息呢?
我猜测可能是以下原因导致了网购信息泄露 :1当当的数据库存在漏洞,黑客完全可以知道所有购物信息;2由于是朋友帮我下订单购买了部分书籍,也可能是他的当当网账户被黑客通过“撞库”的方式进入,看到了订单信息;3还有可能是当当的ERP系统的订单执行端,有人在贩卖订单数据。
由于诈骗分子可以清晰的知道网购者姓名、购物时间、购物内容,因此在接到这种诈骗电话的时候就会放松警惕。普通消费者很难辨别网址的真伪,所以会在骗子的引导下,在类似淘宝的页面中输入支付宝账户、密码。骗子通过钓鱼网址后端服务器可以同步获得该账号密码,登录后进行资金的盗刷。
我将当当网购物后遭遇诈骗的事情发布到微信朋友圈, 有很多朋友回复称,他们在其他网购平台购物后也遭遇过电信诈骗。 由此可见,电商平台的网购信息泄露已经成为诈骗的主要源头。
要求严查电商平台信息泄露
双11刚过,许多人都在网上购物,估计这几天骗子也忙坏了。从加我的QQ号码、头像、钓鱼网址来看,专门针对的是淘宝网购、支付宝支付进行诈骗。普通消费者真的很难防范,估计中招的概率极大。 希望看到我文章的朋友,再接到网购退款电话的时候注意以下几点:
首先,只要接到网购退款电话,就要先主观认定这是诈骗。 网购退款发生的概率极低,除非是用户主动要求退款,或者购买的商品出现定价错误、缺货,属于小概率事件。所以只要此类电话,就认定为诈骗,这会给自己打上预防针。
其次,不要在陌生人发来的任何网址上输入银行账号、网络支付账号密码。 一般诈骗分子会要求加QQ,将钓鱼网址发过来。虽然QQ本身有拦截钓鱼网址的能力,但是诈骗分子频繁变换网址,云端拦截库更新需要时间,所以这些网址有时候不会被拦截。
最后,呼吁监管部门对电商平台的信息泄露进行立法和追责。 目前,电商平台对于保护用户个人信息也并非没有作为,但是还是有部分电商在安全方面存在严重漏洞,导致用户刚一购物信息就遭遇泄露。因此,电商平台如何与安全公司合作,完善自己的数据库安全;如何监督合作伙伴利用处理订单之便贩卖信息,成为电商必须要尽到的义务。
而监管部门要对泄露用户信息的电商平台进行严厉处罚,并整改。电商目前开始普及,安全问题却如此严峻,真的很让人担忧网购的安全性!
作者:磐石之心 知名IT评论人 《融合之道》《解密小米》作者 公众号:磐石之心