誰泄露了你的網購訂單信息？商家和物流最易出問題

2017-11-23 南方日報點擊：次

　　誰泄露了你的網購訂單信息?

　　年末，雙十一、黑色星期五、雙十二紛至沓來，購物狂潮席卷大江南北的同時，電商詐騙也在你的附近蟄伏。

　　“客服”騙走女大學生一年學費

　　周玲(化名)是山東某大學的一名在校生，今年8月2日，她在網上給表妹買了衣服鞋子，因表妹回四川老家，她又聯系商家將收貨地址從西安改成了四川。

　　當天下午，一個自稱客服的陌生電話打過來告知周玲稱，其購買的貨物丟失需加微信給予賠償。接收到對方發來的二維碼后，周玲點擊識別立馬顯示貨物訂單異常。

　　隨后，周玲按照對方要求，又通過二維碼輸入了支付寶賬號，剛收到驗證碼，語音就提示綁定支付寶的銀行卡被凍結，無法打進賠償款。

　　見銀行卡凍結，慌亂之際周玲又聽信對方要求，將6700元紅包轉入對方卡中試圖解凍。詐騙者并未立刻收手，而是主動讓周玲獲悉余額寶錢款不見的事實，繼而以其余額寶也被凍結為由，指導其在一家借貸店鋪申請1500元借貸，并表示之后可將貨物賠償款和已被轉走的錢一并還給周玲。

　　再次按提示完成操作后，周玲才發現這是一個騙局，自己總計被騙走了8200元，對于她而言，這相當于一年的學費，無奈選擇報警。所幸，公安機關全力偵查，幫助周玲追回了被騙的8200元。

　　商家信息泄露過半來自“內鬼”

　　近年，像周玲因網絡購物遭遇詐騙的經歷并不少見。無論是京東還是亞馬遜等電商平臺，同樣面臨用戶信息被泄露，遭遇假冒電商客服詐騙買家的困擾。2013年以來，京東幾乎每年都會對外發布聲明，稱接到消費者反映有不法分子打著京東名義，通過京東客服電話極為相似的號碼向消費者索要銀行卡和手機驗證碼，或聲稱消費者中獎、向消費者電話推銷打折卡等實施詐騙。

　　據電子商務生態安全聯盟發布的《白皮書》報告分析稱，整個電商生態中，從平臺到商家再到ISV(服務商)和物流，都會有信息泄露風險。這些環節信息泄露的比例依次為10%、36%、19%和35%。

　　商家泄露信息大部分是因內部人員和賬號出問題，即通常所說的“內鬼”。如商家內部員工為謀取私利，通過直接出售數據或賬號給詐騙分子，從中獲取非法收入。此外，黑產分子還會偽裝稱客服上門應聘，在獲取賬號權限后批量下載數據再借機離開，這類情況通常發生在商家聚集的廣東地區，且多為團伙流竄作案。

　　“假冒買家的騙子還會通過其他聊天軟件，給商家客服發送會觸發木馬下載的文檔或圖片等，并謊稱是自己需要購買的貨品清單，沒有防備的商家客服往往會順勢點開中招。”一位業內資深安全專家介紹稱，這類內鬼風險也是主要的信息泄露源，占到商家信息泄露的56%。

　　服務商泄露信息不容小覷

　　在周玲一案中，經西安警方偵查發現，周玲提出更換收貨地址后，商家曾將她的相關信息發送至了有物流人員和黑產者在內的QQ群。

　　辦案民警介紹稱，黑產人員往往會通過搜索類似“物流”“快遞”等關鍵詞，加入到物流快遞QQ群，用戶信息也因此容易被黑產者盜取并販賣。警方初步判斷，該類QQ群是周玲信息被泄露的根源。

　　按照電子商務生態安全聯盟白皮書調研，物流和服務商環節泄露用戶信息的情況也不可小視。

　　在物流環節，因物流公司大部分采取加盟模式，部分倉庫、網點存在倉內局域網作業情況，導致應用系統呈現多級數據存儲的架構，極大增加了數據管理的復雜程度。同時，物流從業人員流動性大，尤其是在歷年大促期間，大量臨時的分揀、派件人員加大了電商交易信息在物流環節發生信息泄露的不可控因素，常見的人員問題包括面單拍照、賬號買賣、內部人員批量數據導出等情形。

　　而ISV(服務商)在電商生態中，主要會給商家提供開發應用系統，如進行商品、會員和訂單的管理。這一環節掌握著各電商平臺的不同商家訂單信息。

　　無論是京東、淘寶還是亞馬遜等電商平臺商家，通常存在使用相同ISV的情況，意味著一旦這些跨店鋪、跨平臺的ISV服務商出現信息泄露，往往會殃及多家平臺。

　　通常情況下，騙子在掌握了詳細或部分受害者信息后，會通過電話、短信等方式聯系受害者，用掌握的受害者信息獲取信任，然后引導受害者進行掃碼支付、在線轉賬、ATM機轉賬、在釣魚網站中填寫資金賬戶信息、從借貸產品借出資金，并將資金轉入騙子賬戶或者在線進行虛擬商品消費或購買基金產品。

　　資金到達騙子賬戶后詐騙者會迅速將資金分拆轉入二級、三級黑卡，然后進行消費或由專門的黑產者在全球各地取現。騙子的借口各式各樣，目的都是騙取受害者卡中的錢款和誘導借貸出來的錢款。

　　目前北京、上海、廣東、浙江、江蘇、山東、河北、江西等省市欺詐事件較為頻發且資損較大，但詐騙者來源地則主要集中在福建和廣東兩省。

　　電商建立全鏈路數據安全能力

　　近日，中國電信廣東公司在廣州舉辦以“溫柔藏刀”為主題的防范通訊信息詐騙創意快閃活動。在現場，觀眾使用準備好的“詐騙劇本”和手機給自己的親朋好友打個電話，通過換位思考的方式，了解騙子思維。在這個過程中，不少觀眾認識了電商詐騙的場景和套路。

　　當前，在反制電商詐騙中，部分電商平臺也作出了技術創新。近年，阿里巴巴就針對數據安全風險的防范，提煉出了一套數據安全能力成熟度模型(DSMM)，用來評估企業和機構在數據安全整體上的能力水平，指導電子商務生態內的各類企業和機構進行數據安全體系建設工作。

　　而其全鏈路數據安全防控技術與產品體系——御城河的數據泄露風險檢測及溯源技術，可預警商家、服務商、物流環節在內的內鬼操作、賬號風險、異常訪問行為、木馬風險等各類數據風險。該系統每天會幫助服務商分析6.5億次核心數據訪問行為并攔截風險，每天幫助物流商分析6000萬次核心數據訪問行為，已有超過300萬商家的近800萬終端也在使用受御城河保護的服務商或物流應用。

　　在購物狂歡的年末，安全專家提醒，在網上購物后，若接到自稱客服退款等陌生電話，一律不要輕信，也不要加QQ或微信私聊。如果用戶錢款已被詐騙，也千萬不要再次聯系詐騙電話，應該及時保留證據并立即報警。

　　“陌生人發來的任何網頁或二維碼鏈接都不要輕易點擊查看。”安全專家特別強調。南方日報記者姚翀