誰泄露了你的網(wǎng)購訂單信息?

　　年末，雙十一、黑色星期五、雙十二紛至沓來，購物狂潮席卷大江南北的同時，電商詐騙也在你的附近蟄伏。

　　“客服”騙走女大學(xué)生一年學(xué)費(fèi)

　　周玲(化名)是山東某大學(xué)的一名在校生，今年8月2日，她在網(wǎng)上給表妹買了衣服鞋子，因表妹回四川老家，她又聯(lián)系商家將收貨地址從西安改成了四川。

　　當(dāng)天下午，一個自稱客服的陌生電話打過來告知周玲稱，其購買的貨物丟失需加微信給予賠償。接收到對方發(fā)來的二維碼后，周玲點(diǎn)擊識別立馬顯示貨物訂單異常。

　　隨后，周玲按照對方要求，又通過二維碼輸入了支付寶賬號，剛收到驗(yàn)證碼，語音就提示綁定支付寶的銀行卡被凍結(jié)，無法打進(jìn)賠償款。

　　見銀行卡凍結(jié)，慌亂之際周玲又聽信對方要求，將6700元紅包轉(zhuǎn)入對方卡中試圖解凍。詐騙者并未立刻收手，而是主動讓周玲獲悉余額寶錢款不見的事實(shí)，繼而以其余額寶也被凍結(jié)為由，指導(dǎo)其在一家借貸店鋪申請1500元借貸，并表示之后可將貨物賠償款和已被轉(zhuǎn)走的錢一并還給周玲。

　　再次按提示完成操作后，周玲才發(fā)現(xiàn)這是一個騙局，自己總計被騙走了8200元，對于她而言，這相當(dāng)于一年的學(xué)費(fèi)，無奈選擇報警。所幸，公安機(jī)關(guān)全力偵查，幫助周玲追回了被騙的8200元。

　　商家信息泄露過半來自“內(nèi)鬼”

　　近年，像周玲因網(wǎng)絡(luò)購物遭遇詐騙的經(jīng)歷并不少見。無論是京東還是亞馬遜等電商平臺，同樣面臨用戶信息被泄露，遭遇假冒電商客服詐騙買家的困擾。2013年以來，京東幾乎每年都會對外發(fā)布聲明，稱接到消費(fèi)者反映有不法分子打著京東名義，通過京東客服電話極為相似的號碼向消費(fèi)者索要銀行卡和手機(jī)驗(yàn)證碼，或聲稱消費(fèi)者中獎、向消費(fèi)者電話推銷打折卡等實(shí)施詐騙。

　　據(jù)電子商務(wù)生態(tài)安全聯(lián)盟發(fā)布的《白皮書》報告分析稱，整個電商生態(tài)中，從平臺到商家再到ISV(服務(wù)商)和物流，都會有信息泄露風(fēng)險。這些環(huán)節(jié)信息泄露的比例依次為10%、36%、19%和35%。

　　商家泄露信息大部分是因內(nèi)部人員和賬號出問題，即通常所說的“內(nèi)鬼”。如商家內(nèi)部員工為謀取私利，通過直接出售數(shù)據(jù)或賬號給詐騙分子，從中獲取非法收入。此外，黑產(chǎn)分子還會偽裝稱客服上門應(yīng)聘，在獲取賬號權(quán)限后批量下載數(shù)據(jù)再借機(jī)離開，這類情況通常發(fā)生在商家聚集的廣東地區(qū)，且多為團(tuán)伙流竄作案。

　　“假冒買家的騙子還會通過其他聊天軟件，給商家客服發(fā)送會觸發(fā)木馬下載的文檔或圖片等，并謊稱是自己需要購買的貨品清單，沒有防備的商家客服往往會順勢點(diǎn)開中招。”一位業(yè)內(nèi)資深安全專家介紹稱，這類內(nèi)鬼風(fēng)險也是主要的信息泄露源，占到商家信息泄露的56%。

　　服務(wù)商泄露信息不容小覷

　　在周玲一案中，經(jīng)西安警方偵查發(fā)現(xiàn)，周玲提出更換收貨地址后，商家曾將她的相關(guān)信息發(fā)送至了有物流人員和黑產(chǎn)者在內(nèi)的QQ群。

　　辦案民警介紹稱，黑產(chǎn)人員往往會通過搜索類似“物流”“快遞”等關(guān)鍵詞，加入到物流快遞QQ群，用戶信息也因此容易被黑產(chǎn)者盜取并販賣。警方初步判斷，該類QQ群是周玲信息被泄露的根源。

　　按照電子商務(wù)生態(tài)安全聯(lián)盟白皮書調(diào)研，物流和服務(wù)商環(huán)節(jié)泄露用戶信息的情況也不可小視。

　　在物流環(huán)節(jié)，因物流公司大部分采取加盟模式，部分倉庫、網(wǎng)點(diǎn)存在倉內(nèi)局域網(wǎng)作業(yè)情況，導(dǎo)致應(yīng)用系統(tǒng)呈現(xiàn)多級數(shù)據(jù)存儲的架構(gòu)，極大增加了數(shù)據(jù)管理的復(fù)雜程度。同時，物流從業(yè)人員流動性大，尤其是在歷年大促期間，大量臨時的分揀、派件人員加大了電商交易信息在物流環(huán)節(jié)發(fā)生信息泄露的不可控因素，常見的人員問題包括面單拍照、賬號買賣、內(nèi)部人員批量數(shù)據(jù)導(dǎo)出等情形。

　　而ISV(服務(wù)商)在電商生態(tài)中，主要會給商家提供開發(fā)應(yīng)用系統(tǒng)，如進(jìn)行商品、會員和訂單的管理。這一環(huán)節(jié)掌握著各電商平臺的不同商家訂單信息。

　　無論是京東、淘寶還是亞馬遜等電商平臺商家，通常存在使用相同ISV的情況，意味著一旦這些跨店鋪、跨平臺的ISV服務(wù)商出現(xiàn)信息泄露，往往會殃及多家平臺。

　　通常情況下，騙子在掌握了詳細(xì)或部分受害者信息后，會通過電話、短信等方式聯(lián)系受害者，用掌握的受害者信息獲取信任，然后引導(dǎo)受害者進(jìn)行掃碼支付、在線轉(zhuǎn)賬、ATM機(jī)轉(zhuǎn)賬、在釣魚網(wǎng)站中填寫資金賬戶信息、從借貸產(chǎn)品借出資金，并將資金轉(zhuǎn)入騙子賬戶或者在線進(jìn)行虛擬商品消費(fèi)或購買基金產(chǎn)品。

　　資金到達(dá)騙子賬戶后詐騙者會迅速將資金分拆轉(zhuǎn)入二級、三級黑卡，然后進(jìn)行消費(fèi)或由專門的黑產(chǎn)者在全球各地取現(xiàn)。騙子的借口各式各樣，目的都是騙取受害者卡中的錢款和誘導(dǎo)借貸出來的錢款。

　　目前北京、上海、廣東、浙江、江蘇、山東、河北、江西等省市欺詐事件較為頻發(fā)且資損較大，但詐騙者來源地則主要集中在福建和廣東兩省。

　　電商建立全鏈路數(shù)據(jù)安全能力

　　近日，中國電信廣東公司在廣州舉辦以“溫柔藏刀”為主題的防范通訊信息詐騙創(chuàng)意快閃活動。在現(xiàn)場，觀眾使用準(zhǔn)備好的“詐騙劇本”和手機(jī)給自己的親朋好友打個電話，通過換位思考的方式，了解騙子思維。在這個過程中，不少觀眾認(rèn)識了電商詐騙的場景和套路。

　　當(dāng)前，在反制電商詐騙中，部分電商平臺也作出了技術(shù)創(chuàng)新。近年，阿里巴巴就針對數(shù)據(jù)安全風(fēng)險的防范，提煉出了一套數(shù)據(jù)安全能力成熟度模型(DSMM)，用來評估企業(yè)和機(jī)構(gòu)在數(shù)據(jù)安全整體上的能力水平，指導(dǎo)電子商務(wù)生態(tài)內(nèi)的各類企業(yè)和機(jī)構(gòu)進(jìn)行數(shù)據(jù)安全體系建設(shè)工作。

　　而其全鏈路數(shù)據(jù)安全防控技術(shù)與產(chǎn)品體系——御城河的數(shù)據(jù)泄露風(fēng)險檢測及溯源技術(shù)，可預(yù)警商家、服務(wù)商、物流環(huán)節(jié)在內(nèi)的內(nèi)鬼操作、賬號風(fēng)險、異常訪問行為、木馬風(fēng)險等各類數(shù)據(jù)風(fēng)險。該系統(tǒng)每天會幫助服務(wù)商分析6.5億次核心數(shù)據(jù)訪問行為并攔截風(fēng)險，每天幫助物流商分析6000萬次核心數(shù)據(jù)訪問行為，已有超過300萬商家的近800萬終端也在使用受御城河保護(hù)的服務(wù)商或物流應(yīng)用。

　　在購物狂歡的年末，安全專家提醒，在網(wǎng)上購物后，若接到自稱客服退款等陌生電話，一律不要輕信，也不要加QQ或微信私聊。如果用戶錢款已被詐騙，也千萬不要再次聯(lián)系詐騙電話，應(yīng)該及時保留證據(jù)并立即報警。

　　“陌生人發(fā)來的任何網(wǎng)頁或二維碼鏈接都不要輕易點(diǎn)擊查看。”安全專家特別強(qiáng)調(diào)。南方日報記者 姚翀