周玲(化名)是山东某大学的一名在校生,今年 8 月 2 日她在网上给表妹买了衣服鞋子,因表妹回老家,她联系商家修改了一次收货地址。

 

当天下午,一个陌生电话打过来告知周玲称,其购买的货物丢失,需加微信给予赔偿。接收到对方发来的二维码后,周玲点击识别立马显示货物订单异常。

 

周玲按照对方要求,又通过二维码输入了支付宝账号,刚收到验证码,语音就提示绑定支付宝的银行卡被冻结,无法打进赔偿款。

 

随后,周玲又听信对方要求,从支付宝向银行卡转账数千元,并在一家借贷店铺申请 1500 元借贷,全部转给了骗子的银行卡,被骗走 8200 元。

 

办案民警介绍称,黑产人员往往会通过搜索类似 " 物流 "、" 快递 " 等关键词,加入到物流快递 QQ 群,用户信息也因此容易被黑产者盗取并贩卖。警方初步判断 , 该类 QQ 群是周玲信息被泄露的根源。

 

事后,经公安机关全力调查,才帮助周玲追回了被骗的 8200 元。

 

电子商务生态安全联盟(SAEE)今年 7 月发布的《2017 电商安全白皮书》(下称《白皮书》)则指出,电商生态产业中 " 平台 "、" 商家 "、以及为商家服务的第三方 "ISV"(即服务商)与物流等各环节,都存在不同程度的用户信息泄露风险,这给不法分子留下了诈骗获利空间。其中,商家端和物流端的用户信息泄露占比最高,二者总和超过 70%。

 

" 双 12" 临近,安全专家提示消费者注意防范假冒电商客服诈骗,不要轻易接听陌生人电话,不要点开陌生人发送的链接、文档,以防遭遇诈骗。

 

商家泄露用户信息主要因 " 内鬼 "

近年,像周玲因网络购物遭遇诈骗的经历并不少见。无论是京东还是亚马逊等电商平台,同样面临用户信息被泄露,遭遇假冒电商客服诈骗买家的困扰。

 

据电子商务生态安全联盟发布的《白皮书》报告分析称,整个电商生态中,从平台到商家再到 ISV 和物流,都会有信息泄露风险。

 

这些环节信息泄露的比例依次为 10%、36%、19% 和 35%。其中,商家和物流是泄露用户信息的主体,二者总和高达 71%。

 

商家泄露信息大部分是因内部人员和账号出问题,即通常所说的 " 内鬼 "。如商家内部员工为谋取私利,出售数据或账号给诈骗分子,从中获取非法收入。

 

此外,黑产分子还会上门应聘客服,在获取账号权限后批量下载数据再借机离开,这类情况多为团伙流窜作案。

 

今年 3 月,嫌疑人刘斌(化名)就用假身份证应聘了某网店客服岗位,并利用商家提供的子账号,盗取了商家已卖出货物的订单信息,再通过网络等途径将订单数据发送给团伙内其他人员。

 

数据得手后,刘斌以吃饭、买东西为由快速离开现场。几小时后,卖家就收到买家反馈被冒充商家客服诈骗的投诉,待商家发现问题时,假冒客服早已逃之夭夭。

 

" 骗子还会假冒买家,通过聊天软件,给商家客服发送会触发木马下载的文档或图片等,谎称是自己需要购买的货品清单,没有防备的商家客服往往会顺势点开中招。" 一位业内资深安全专家介绍,这类内鬼风险也是主要的信息泄露源,占到商家信息泄露的 56%。

 

服务商泄露信息可能殃及多家平台

在物流环节,因物流公司大部分采取加盟模式,部分仓库、网点存在仓内局域网作业情况,导致应用系统呈现多级数据存储的架构,极大增加了数据管理的复杂程度。

 

同时,物流从业人员流动性大,尤其是在历年大促期间,大量临时的分拣、派件人员加大了电商交易信息在物流环节发生信息泄露的不可控因素,常见的人员问题包括面单拍照、账号买卖、内部人员批量数据导出等情形。

 

安全专家建议,物流快递行业要加强从业人员管理,进行数据安全相关法律法规培训,并能遵从电子商务生态安全联盟(SAEE)上发布的《物流快递行业安全等级划分技术规范》和《物流快递行业安全审计日志接入规范》,设定数据泄漏追溯查证机制等,降低数据泄露事件的发生。

 

ISV(服务商)在电商生态中,主要会给商家提供开发应用系统,如进行商品、会员和订单的管理。这一环节掌握着各电商平台的不同商家订单信息。

 

京东、淘宝、亚马逊等电商平台的商家,通常存在使用相同 ISV 的情况,意味着一旦这些跨店铺、跨平台的 ISV 服务商出现信息泄露,往往会殃及多家平台。

 

被骗后不要再次联系诈骗电话

业内一位常年研究诈骗黑产的安全专家表示,消费者在线上购物时,只要提高警惕也能很大程度降低自己受骗的风险。

 

如在网上购物后,若接到自称客服退款等陌生电话,一律不要轻信,也不要加 QQ 或微信私聊。遇到这类诈骗,一定要仔细核实对方身份,与电商平台客服或在线网店客服进行确认,对方一旦要求操作转账或申请借贷产品,通通不要理会;验证码和各类密码更要小心保管,也不要点开对方发来的退款链接。

 

如果用户钱款已被诈骗,也千万不要再次联系诈骗电话。业内安全专家表示,从众多被骗案例分析来看,多次给陌生账号汇款的受骗者数量惊人。

 

" 骗子贪婪的本性,让他们不会放过任何一个好骗的羔羊,他们会编造各种借口让受害者不断汇款转账。" 该安全专家强调说,陌生人发来的任何网页或二维码链接都不要轻易点击查看。

 

遇到诈骗后,应该及时保留证据并立即报警。条件允许,应该尽快和钱款流向机构取得联系,尽量争取冻结对方账户,最大限度挽回损失。

 

分享