1118日为了给磐石有声群友送签名的《解密小米》,我在当当上购买了多本该书。1119日下午,收到一个来自浙江宁波的131号段来电。自称是当当网店主,并准确叫出我的姓名,以及购物的时间、内容。

作为一名多年从事反诈骗相关工作的人,我第一时间已经意识到我在遭遇一场骗局。所以就顺势不打草惊蛇,听完了骗子的所有解释,并按照要求加了对方的QQ。接下来,我就和大家谈谈这种“网购退款”诈骗,希望在网购普及的时代让大家都能远离诈骗。

骗子编的故事很真实

131号段拨打电话自称当当客服,并表示我昨日购买的书籍,因支付宝系统问题,支付未成功,需要办理退款。

接着向我索要QQ号码,要求加了QQ后,将网址发过来,即可办理。同时,特别提醒不要挂断电话,电话录音是退款的凭证,也可以指导用户退款成功。我按照骗子的要求一步步进行,骗子的内心估计乐开花,因为显然我已经进入骗子设置的圈套。

这时一个名为“订单客服”,头像为阿里旺旺图标。然后立即发来一条网址(www.guardeasy.cn/****),网址打开后在页面最上方是淘宝的LOGO,然后是一个输入淘宝账号、密码的登录框。显然,这个网址并非支付宝官方网址,骗子的“马脚”已经开始露出。

我告诉他,这条网址被安全软件拦截了,说是诈骗网址。对方很生气的说:“你赶紧将安全软件卸掉,免得退款失败!”并在QQ上截图给我。眼看戏没法继续演下去,我说:“你这个小伎俩骗不了我,立即滚蛋!”对方啪得挂了电话。

谁泄露了我的网购信息?

我在当当网上购物选择的是自营书籍,并非在第三方店铺购买。那么,谁泄露了我的网购信息呢?

我猜测可能是以下原因导致了网购信息泄露:1当当的数据库存在漏洞,黑客完全可以知道所有购物信息;2由于是朋友帮我下订单购买了部分书籍,也可能是他的当当网账户被黑客通过“撞库”的方式进入,看到了订单信息;3还有可能是当当的ERP系统的订单执行端,有人在贩卖订单数据。

由于诈骗分子可以清晰的知道网购者姓名、购物时间、购物内容,因此在接到这种诈骗电话的时候就会放松警惕。普通消费者很难辨别网址的真伪,所以会在骗子的引导下,在类似淘宝的页面中输入支付宝账户、密码。骗子通过钓鱼网址后端服务器可以同步获得该账号密码,登录后进行资金的盗刷。

因此,网购信息的泄露是网购退款诈骗成功的源头。我将当当网购物后遭遇诈骗的事情发布到微信朋友圈,有很多朋友回复称,他们在其他网购平台购物后也遭遇过电信诈骗。由此可见,网购平台的网购信息泄露已经成为诈骗的主要源头。

要求严查电商平台信息泄露

11刚过,许多人都在网上购物,估计这几天骗子也忙坏了。从加我的QQ号码、头像、钓鱼网址来看,专门针对的是淘宝网购、支付宝支付进行诈骗。普通消费者真的很难防范,估计中招的概率极大。希望看到我文章的朋友,再接到网购退款电话的时候注意以下几点:

首先,只要接到网购退款电话,就要先主观认定这是诈骗。网购退款发生的概率极低,除非是用户主动要求退款,或者购买的商品出现定价错误、缺货,属于小概率事件。所以只要此类电话,就认定为诈骗,这会给自己打上预防针。

其次,不要在陌生人发来的任何网址上输入银行账号、网络支付账号密码。一般诈骗分子会要求加QQ,将钓鱼网址发过来。虽然QQ本身有拦截钓鱼网址的能力,但是诈骗分子频繁变换网址,云端拦截库更新需要时间,所以这些网址有时候不会被拦截。

最后,呼吁监管部门对电商平台的信息泄露进行立法和追责。目前,电商平台对于保护用户个人信息也并非没有作为,但是还是有部分电商在安全方面存在严重漏洞,导致用户刚一购物信息就遭遇泄露。因此,电商平台如何与安全公司合作,完善自己的数据库安全;如何监督合作伙伴利用处理订单之便贩卖信息,成为电商必须要尽到的义务。

而监管部门要对泄露用户信息的电商平台进行严厉处罚,并整改。电商目前开始普及,安全问题却如此严峻,真的很让人担忧网购的安全性!