2016年9月,我在一家新闻网站做采编,跑消费口。当时正处于有关部门打击治理电信诈骗的风口浪尖,有天接到一个消费者XX的爆料,自己在亚马逊的个人信息被骗子盗用,点进虚假的链接被骗了数万元。乍一听,是一个很常见的电信诈骗套路,仔细了解后发现,事情并非那么简单。
诈骗经过如下:
XX先收到自称亚马逊客服的电话,对方表示XX有一个订单“出现问题”,需要申请退款并重拍,并准确说出了该订单详情。XX此前只在亚马逊只买过一个充电器,且已经到货,不清楚为何要再次操作此订单,而该“客服”坚持让其登录亚马逊官网查看具体信息。
登陆后,该订单在订单页面不见踪影,而“我的个人主页”页面上显示——由于系统原因,导致该订单失效,已通知商家协助办理退款,并附有“退款链接”,称资金将在系统提示成功五分钟内退回银行账户,若延迟退款会被商城视为“失信客户”。按照“客服”的指示,XX点进页面上的链接,并输入银行卡号和手机收到的验证码,连续输入几次验证码后显示操作成功。第二天使用这张银行卡购物时,XX发现银行卡里上万元的余额已经全被刷走,她这才发觉,前一天点进去的链接是钓鱼网站,最后收到的验证码则是确认转账的操作。
跟亚马逊官方客服联系后XX得知,自己的账号密码已经被盗,“个人主页”上的文字信息是用户可以自行更改的,并不是官方系统信息,随后她在“我的账户”中的“隐藏订单”页面找到了之前消失的订单…… 先不论亚马逊是否在泄露用户信息上负有责任,异地登录会否进行安全验证;用户的个人主页的内容可以被编辑,且上面不会出现亚马逊官方的退款要求,这些信息用户统统没有途径获知。
更为严重的是,这个“漏洞”早已经大大扩散。自称受骗的用户们自发组建了一个100多人的QQ群,被骗原因多为点击被修改的个人主页上的链接。据群内成员统计,他们被骗的金额从几十元至几十万不等,最高金额达到了21.5万元,总计被骗金额累计达到300多万。 在此期间,亚马逊默默关闭了用户个人主页的编辑功能,并且在主页弹出安全提示。但被骗用户的损失估计是永远的损失了。
@titleme, 棒棒哒~~~