谁泄露了你的网购订单信息?
年末,双十一、黑色星期五、双十二纷至沓来,购物狂潮席卷大江南北的同时,电商诈骗也在你的附近蛰伏。
“客服”骗走女大学生一年学费
周玲(化名)是山东某大学的一名在校生,今年8月2日,她在网上给表妹买了衣服鞋子,因表妹回四川老家,她又联系商家将收货地址从西安改成了四川。
当天下午,一个自称客服的陌生电话打过来告知周玲称,其购买的货物丢失需加微信给予赔偿。接收到对方发来的二维码后,周玲点击识别立马显示货物订单异常。
随后,周玲按照对方要求,又通过二维码输入了支付宝账号,刚收到验证码,语音就提示绑定支付宝的银行卡被冻结,无法打进赔偿款。
见银行卡冻结,慌乱之际周玲又听信对方要求,将6700元红包转入对方卡中试图解冻。诈骗者并未立刻收手,而是主动让周玲获悉余额宝钱款不见的事实,继而以其余额宝也被冻结为由,指导其在一家借贷店铺申请1500元借贷,并表示之后可将货物赔偿款和已被转走的钱一并还给周玲。
再次按提示完成操作后,周玲才发现这是一个骗局,自己总计被骗走了8200元,对于她而言,这相当于一年的学费,无奈选择报警。所幸,公安机关全力侦查,帮助周玲追回了被骗的8200元。
商家信息泄露过半来自“内鬼”
近年,像周玲因网络购物遭遇诈骗的经历并不少见。无论是京东还是亚马逊等电商平台,同样面临用户信息被泄露,遭遇假冒电商客服诈骗买家的困扰。2013年以来,京东几乎每年都会对外发布声明,称接到消费者反映有不法分子打着京东名义,通过京东客服电话极为相似的号码向消费者索要银行卡和手机验证码,或声称消费者中奖、向消费者电话推销打折卡等实施诈骗。
据电子商务生态安全联盟发布的《白皮书》报告分析称,整个电商生态中,从平台到商家再到ISV(服务商)和物流,都会有信息泄露风险。这些环节信息泄露的比例依次为10%、36%、19%和35%。
商家泄露信息大部分是因内部人员和账号出问题,即通常所说的“内鬼”。如商家内部员工为谋取私利,通过直接出售数据或账号给诈骗分子,从中获取非法收入。此外,黑产分子还会伪装称客服上门应聘,在获取账号权限后批量下载数据再借机离开,这类情况通常发生在商家聚集的广东地区,且多为团伙流窜作案。
“假冒买家的骗子还会通过其他聊天软件,给商家客服发送会触发木马下载的文档或图片等,并谎称是自己需要购买的货品清单,没有防备的商家客服往往会顺势点开中招。”一位业内资深安全专家介绍称,这类内鬼风险也是主要的信息泄露源,占到商家信息泄露的56%。
服务商泄露信息不容小觑
在周玲一案中,经西安警方侦查发现,周玲提出更换收货地址后,商家曾将她的相关信息发送至了有物流人员和黑产者在内的QQ群。
办案民警介绍称,黑产人员往往会通过搜索类似“物流”“快递”等关键词,加入到物流快递QQ群,用户信息也因此容易被黑产者盗取并贩卖。警方初步判断,该类QQ群是周玲信息被泄露的根源。
按照电子商务生态安全联盟白皮书调研,物流和服务商环节泄露用户信息的情况也不可小视。
在物流环节,因物流公司大部分采取加盟模式,部分仓库、网点存在仓内局域网作业情况,导致应用系统呈现多级数据存储的架构,极大增加了数据管理的复杂程度。同时,物流从业人员流动性大,尤其是在历年大促期间,大量临时的分拣、派件人员加大了电商交易信息在物流环节发生信息泄露的不可控因素,常见的人员问题包括面单拍照、账号买卖、内部人员批量数据导出等情形。
而ISV(服务商)在电商生态中,主要会给商家提供开发应用系统,如进行商品、会员和订单的管理。这一环节掌握着各电商平台的不同商家订单信息。
无论是京东、淘宝还是亚马逊等电商平台商家,通常存在使用相同ISV的情况,意味着一旦这些跨店铺、跨平台的ISV服务商出现信息泄露,往往会殃及多家平台。
通常情况下,骗子在掌握了详细或部分受害者信息后,会通过电话、短信等方式联系受害者,用掌握的受害者信息获取信任,然后引导受害者进行扫码支付、在线转账、ATM机转账、在钓鱼网站中填写资金账户信息、从借贷产品借出资金,并将资金转入骗子账户或者在线进行虚拟商品消费或购买基金产品。
资金到达骗子账户后诈骗者会迅速将资金分拆转入二级、三级黑卡,然后进行消费或由专门的黑产者在全球各地取现。骗子的借口各式各样,目的都是骗取受害者卡中的钱款和诱导借贷出来的钱款。
目前北京、上海、广东、浙江、江苏、山东、河北、江西等省市欺诈事件较为频发且资损较大,但诈骗者来源地则主要集中在福建和广东两省。
电商建立全链路数据安全能力
近日,中国电信广东公司在广州举办以“温柔藏刀”为主题的防范通讯信息诈骗创意快闪活动。在现场,观众使用准备好的“诈骗剧本”和手机给自己的亲朋好友打个电话,通过换位思考的方式,了解骗子思维。在这个过程中,不少观众认识了电商诈骗的场景和套路。
当前,在反制电商诈骗中,部分电商平台也作出了技术创新。近年,阿里巴巴就针对数据安全风险的防范,提炼出了一套数据安全能力成熟度模型(DSMM),用来评估企业和机构在数据安全整体上的能力水平,指导电子商务生态内的各类企业和机构进行数据安全体系建设工作。
而其全链路数据安全防控技术与产品体系——御城河的数据泄露风险检测及溯源技术,可预警商家、服务商、物流环节在内的内鬼操作、账号风险、异常访问行为、木马风险等各类数据风险。该系统每天会帮助服务商分析6.5亿次核心数据访问行为并拦截风险,每天帮助物流商分析6000万次核心数据访问行为,已有超过300万商家的近800万终端也在使用受御城河保护的服务商或物流应用。
在购物狂欢的年末,安全专家提醒,在网上购物后,若接到自称客服退款等陌生电话,一律不要轻信,也不要加QQ或微信私聊。如果用户钱款已被诈骗,也千万不要再次联系诈骗电话,应该及时保留证据并立即报警。
“陌生人发来的任何网页或二维码链接都不要轻易点击查看。”安全专家特别强调。南方日报记者 姚翀