输入两次密码 一万五就没了
昨天,读者小鲁给本报打来电话,反映他在京东电子商城购物时遭遇电信诈骗,被骗金额1.5万元,而且上当受骗的不止他一个人。记者在一个名为“京东盗刷维权”的QQ群中看到,有50多人的经历与小鲁类似,都是在下单后不久接到骗子电话,谎称订单有问题要退款,结果退款时登录了钓鱼网站,每人的受骗金额从数千元到数万元不等。记者在采访中发现,骗子之所以屡屡得手,是因为他们掌握消费者的详细信息,而消费者信息的泄露则与电商网站存在的安全漏洞有关。
骗局
第1步:报出信息取得信任
小鲁告诉记者,前天上午10点,他通过手机在京东自营店里买了一个89元的录入器。“下午工作比较忙,我就没太注意手机。”下单5个小时后,小鲁突然接到了一个自称是京东客服的电话,对方说小鲁的订单有问题。
“对方第一句话问,您是××吗?买了××录入器,收货地址是××。”一听对方知道自己的姓名、购买的具体商品以及收货地址,小鲁放松了警惕。
第2步:登录网站转走钱款
在取得了小鲁的信任之后,对方让小鲁登录QQ,说是因为资金冻结问题,订单需要先取消再购买。
虽然有些怀疑,但是对方把自己的信息说得准确无误,小鲁选择了相信。“他们催得特别紧”,小鲁说,自己当时想用手机打开对方发来的网页,但是这条链接在手机上无法打开,“他们让我赶紧找台电脑继续操作。”小鲁找了一台电脑打开了网页。“网页布局和商家标识与京东的页面一模一样。”因此,小鲁放心地输入了信用卡卡号、密码、验证码和有效期。在按下确认后,页面显示超时,小鲁又输了一遍信息,结果这一次,他收到两条扣款短信,加起来共1.5万元。直到这时,小鲁才意识到上当了,他查询后发现,这两笔扣款都来自福建的一家科技公司。
困境
维权太难大家抱团取暖
小鲁赶紧给银行打去电话,希望能冻结转出去的款项,但是为时已晚。为了提醒大家别再被骗,小鲁将自己的遭遇发到了网上。没想到,上当受骗的不止他一个。
“我们这些受害者组建了一个QQ群。”小鲁说,大家被骗的经历都差不多,都是在下单后,接到了骗子的电话,登录钓鱼网站,导致银行卡信息泄露。在QQ群里,大家也在讨论维权的问题,但是能否要回自己的损失,小鲁心里没底:“我给京东的客服打过几次电话,除了安慰的话,事情并没有实质性的进展。而警察告诉我维权很难,因为等破了案,我被盗刷的钱也很有可能要不回来了。”
探因
安全漏洞导致信息泄露
最让小鲁不能理解的是,为什么他的信息会泄露得这么快,就好像骗子一直在监视他的账户。小鲁曾拨打京东客服电话,质疑客户数据库是否被黑客盗取,但客服人员表示数据库并无漏洞,小鲁个人信息泄漏或许是因黑客手段先进。
不过,360互联网安全中心在1月12日发布的《2014年中国网站安全报告》中提到,被各大网银、在线支付、电商网站、门户网站、电子邮件等重要网站广泛使用的OpenSSL安全传输方法存在漏洞。该漏洞可以让黑客轻松地在以https开头的网址服务器上,实时抓取用户的账号和密码。报告披露,从该漏洞被公开到被修复的这段时间里,已经有黑客发动了攻击,有些网站用户信息或许已被非法获取。因此,在未来的一段时间里,黑客可能会利用已获取的这些用户信息,在互联网上再次进行其他形式的恶意攻击,针对用户的“次生危害”(如网络诈骗等)会大量集中显现。国内已有部分网站受此漏洞影响,其中包括京东某分站敏感信息泄露。
记者在立足于计算机厂商和安全研究者之间的安全问题反馈及发布平台的乌云网上看到,早在去年3月,就有网友发现京东网站存在着漏洞,黑客通过撞库,获取到用户的信息和密码。在漏洞展示的页面上,记者注意到,20分钟的时间内,测试的网友拿到了1500多名京东用户账号和密码。去年12月初,还有网友发现TCL核心业务系统存在缺陷,导致海量淘宝、京东等电商平台用户信息遭到泄露。不过这些漏洞在向公众披露之前,都已得到解决。
虽然漏洞不断被发现又不断被修复,但对于普通的消费者而言,当您接到骗子打来的电话后,一定要先给电商的客服打电话进行确认,这样才能有效保障自己的财产不受损失。
京报网网版权说明:凡注明来源为“京报网网:XXX(署名)”,除与京报网签署内容授权协议的网站外,其他任何网站或单位未经允许禁止转载、使用,违者必究。如需使用,请与010-85202099联系;凡本网注明“来源:XXX(非京报网)”的作品,均转载自其它媒体,目的在于传播更多信息,其他媒体如需转载,请与稿件来源方联系,如产生任何问题与本网无关。