2016年12月28日,在北京工作的马琳在“小红书”上购买了洗面奶,“小红书客服”精确地报出了她在小红书的消费信息,这是她认为自己被骗的主要原因。
“尽管说泄露信息的渠道很多,但是这么大面积的小红书消费者被骗,只能说明是小红书造成的信息泄露。”马琳说,骗子掌握了小红书后台用户几乎所有信息,包括身份证信息,这些都是在小红书注册时必填的,“这说明小红书后台已没有保密性”。
而就在今年3月13日,西北民族大学研一学生李西(化名)接到“小红书客服”电话,在理赔过程中,李西根据“客服”指示,最终被骗18100元。
4月20日,李西的遭遇被报道后,截至5月31日,先后有50名受骗者联系记者。她们的经历和遭遇极其相似,都是因为在小红书上有网购经历,最后都接到自称是“小红书客服”的电话,以购买商品存在质量问题退款为由被骗。据统计,50人受骗总额为879163.58元。
用户信息大面积泄露
26岁的郑叶收到了“小红书客服”发给她的通知书,通知书很正式,左上角还有一个小红书的标志。郑叶信以为真。
通知书说:“尊敬的用户,由于您近期在我们店铺购买的商品出现质量问题,现需全部退回,请通过我们合作第三方平台:招联好期贷、蚂蚁借呗、来分期,扫二维码进行接收赔付款,我们客服人员会及时跟您联系,给您造成不便深表歉意,感谢您的支持和信赖。”
通知书还称:“重要通知:因为退还款是第三方合作平台预先把店铺金额退还到您的支付宝余额上,您再进行还款,如果您收到款项不配合还款,导致还款通道关闭,您个人账户逾期,跟您的个人征信是关联的,您到时将被索赔双倍赔偿款,并支付相应的利息。”
据统计,这50名受骗者都是年轻女性,其中有22名大学生。受骗者年龄在19岁到31岁之间,平均年龄是23岁。她们在小红书上购买的产品基本上都是化妆品。
受骗时间分布在3月、4月、5月这3个月,其中3月受骗16人,4月受骗23人,5月受骗11人。受骗人数最多的是3月27日,有6人;4月17日有3人受骗;4月19日有4人受骗;就在4月20日本报刊发报道当天,还有4人被骗。
50名受骗者受骗总金额为879163.58元,受骗1万元以下的有25人,受骗1万~2万元的有11人,受骗2万~3万元的有4人,受骗3万~4万元的有3人,受骗4万~5万元的有4人,5万元以上的有3人。最多的一人被骗9.13万元。
从购买时间来看,2016年12月和2017年1月各有1人被骗,有13人购买时间是在2月,有23人购买时间在3月,有8人购买时间在4月,有4人购买时间是在5月。
今年5月18日,26岁的网友“木易”在小红书购买了沐浴乳和润肤露。6天后,她接到“小红书客服”电话,最后被骗4.3万元。记者发现,从在小红书购买商品日期,到被骗日期的间隔时间来统计,最短的只有6天,多数时间间隔是一个月左右。
根据收货邮件地址,受骗者遍布全国14省份。其中广东有9人被骗,江苏有7人被骗,浙江有6人被骗,北京有5人受骗,武汉有3人受骗,沈阳、重庆、成都、合肥各有两人受骗。
马琳说,受骗者数量庞大。从最早的3月到现在,人数每天都在上升,这是源头出了问题,而不是小红书官方指出“用户自己的快递单乱扔”等原因那么简单。受骗者遍布全国各地,收货地址不同,基本排除了消费者泄露信息的可能性。
被利用的“弱点”
26岁的郑叶在接电话时,发现对方可能是骗子,挂断电话。没想到,她还收到了“客服”的“威胁短信”:“女士,那我们就取消您的订单了,月底您就自行承单(短信原文——记者注)这个3万元的赔偿以及起诉信!”
蚂蚁金服安全管理部相关人士介绍,事实上,冒充客服进行诈骗,如何给消费者“下套”,这些都是话术,专门针对消费者不同时期的心理,还会有专门的机构培训做话术。台湾专门有人卖话术,一套7万多元。
一位业内人士分析,这种诈骗之所以能够频频顺利得手,第一步就是受骗者的交易清单。“这些交易清单能够清楚地显示受骗者购物的时间和购买的物品,骗子一旦能够准确说出这些内容,受骗者一般很难会怀疑小红书客服的身份。”
记者发现,此次50名受骗者受骗一共涉及21个网络理财平台,每个人受骗可能会涉及多个平台,这些平台琳琅满目。
据统计,通过“来分期”有20人受骗,通过“招联好期贷”有15人受骗,通过“蚂蚁借呗”有14人受骗,有8人通过“支付宝转账”被骗,有10人通过“安逸花”被骗,通过“马上金融”有6人受骗,“微信转账”和“亲密付”各有4人受骗,“华夏基金”有3人受骗,微信财付通有两人受骗,另外网商银行、中银快付、徽商银行的徽常有财理财平台、趣店、现金巴士、微信微粒贷、翼支付、甜橙理财、富国基金、沃百富各有1人受骗。
“这种骗贷手段是网络购物诈骗最新类型。”蚂蚁金服的一位工作人员介绍,“骗子主要利用老百姓对网购退款流程以及一些新的网络消费金融平台不熟悉的弱点。同时,还利用受骗者对芝麻信用分数似懂非懂,以提高信用分才能退款为名,一步步引诱受骗者上当。”
骗子口中的“招联好期贷”“蚂蚁借呗”“来分期”都是互联网金融借贷平台,均可通过支付宝进行个人消费借贷,无需担保、抵押。“即便受骗者自己没有钱,骗子也可以诱骗受骗者在这些平台上借贷进行诈骗。”
事实上,这些受骗者大多是信用记录良好(信用不好的人借不到钱),有稳定收入或家庭条件不错的年轻女性用户,有多年网购经历,金融机构对她们的个人授信实际上是对其信用的肯定。
有法律人士认为,此种诈骗手段已从骗取个人钱财升级为诈骗金融机构,其中,好期贷的钱源自招商银行,蚂蚁借呗的钱来自网商银行,均属于金融机构。此种诈骗属于以非法占有为目的,诈骗银行或者其他金融机构的贷款且数额较大,属于金融犯罪的一种。
“小红书”称未发现有账号数据泄露现象
今年3月29日,27岁的李女士在小红书购买了防晒霜,4月17日接到“小红书客服”电话。
“客服”在支付宝上直接把她的订单号发给她,里面有她在苏州的详细收货地址、购买商品信息,甚至包含她的小红书登录账号和密码。
对“客服”的身份确认无疑后,李女士被骗3.8万元。“除了我自己,谁会掌握我的账号和密码?”李女士至今疑惑不解。
4月21日,小红书通过一家媒体回应称,公司了解情况后第一时间进行了内部验证与技术排查,并未发现近期有批量账号敏感数据泄露现象。
据介绍,小红书已经制订了一系列风险规则、安全验证方式和登录限制,以防范用户敏感信息在其他渠道泄露导致的相应风险。未来,小红书还将采取一些特别的措施,防止诈骗团伙冒充公司客服。
值得一提的是,在50名受骗者中,还有16人是在小红书采取“特别措施”之后被骗。
这家媒体还报道称,受理此案件的黄浦公安表示,该案件目前正在进一步侦查中。在网购的过程中,所有接触到用户信息的环节,从手机软件、网站、快递物流到顾客本身,都存在信息泄露的可能性。因此,警方建议消费者在网购时要多提高安全意识,如为不同的网站设置不同的密码、不以常用密码作为支付密码、及时销毁快递单据等。
游侠安全网创始人张百川分析,小红书称没有发现“批量账号敏感数据泄露现象”。这就意味着排除了“扫号撞库”的可能性。
“撞库”和“扫号”都是黑客手段专用术语。跟它相关的,还有“拖库”。简单来说,拖库就是黑客用技术手段入侵一些安全防范不是很高的中小网站,取得大量用户注册名和密码数据,然后再把这些用户名及密码跟网络银行、支付宝、淘宝等有价值的网站进行匹配登录,这就是“撞库”。实际操作中,黑客往往是通过专门的“扫号”软件,批量验证账号密码是否有价值。
张百川认为,信息外露的途径有很多,只要是牵扯到输入的地方,都有可能产生输出。众多消费者集体信息泄露,随后遭遇诈骗,发生时间集中,基本排除数据传输和消费者自身信息泄露的可能。“如果是网购平台大批量出现问题,第一有可能是他们的系统有漏洞,遭到黑客攻击,窃取了用户信息;第二也有可能是内部人员非法兜售用户的个人信息。”(据新华网)