50名“小紅書”用戶被騙近88萬 信息是如何泄露的
3月14日,直到銀行卡提示被劃走了40087元,26歲的馬琳才意識(shí)到自己被騙了。
2016年12月28日,在北京工作的馬琳在“小紅書”上購買了洗面奶,“小紅書客服”精確地報(bào)出了她在小紅書的消費(fèi)信息,這是她認(rèn)為自己被騙的主要原因。
“盡管說泄露信息的渠道很多,但是這么大面積的小紅書消費(fèi)者被騙,只能說明是小紅書造成的信息泄露。”馬琳說,騙子掌握了小紅書后臺(tái)用戶幾乎所有信息,包括身份證信息,這些都是在小紅書注冊(cè)時(shí)必填的,“這說明小紅書后臺(tái)已沒有保密性”。
而就在3月13日,西北民族大學(xué)研一學(xué)生李西(化名)接到“小紅書客服”電話,在理賠過程中,李西根據(jù)“客服”指示,最終被騙18100元。
4月20日,李西的遭遇被本報(bào)報(bào)道后,截至5月31日,先后有50名受騙者聯(lián)系本報(bào)。她們的經(jīng)歷和遭遇極其相似,都是因?yàn)樵谛〖t書上有網(wǎng)購經(jīng)歷,最后都接到自稱是“小紅書客服”的電話,以購買商品存在質(zhì)量問題退款為由被騙。據(jù)統(tǒng)計(jì),50人受騙總額為879163.58元。
讓人不敢想象的是,除了這50名受騙者,可能還有更多人受騙,還有更多人接到或者正在接到詐騙電話。
小紅書用戶信息大面積泄露
26歲的鄭葉收到了“小紅書客服”發(fā)給她的通知書,通知書很正式,左上角還有一個(gè)小紅書的標(biāo)志。鄭葉信以為真。
通知書說:“尊敬的用戶,由于您近期在我們店鋪購買的商品出現(xiàn)質(zhì)量問題,現(xiàn)需全部退回,請(qǐng)通過我們合作第三方平臺(tái):招聯(lián)好期貸、螞蟻借唄、來分期,掃二維碼進(jìn)行接收賠付款,我們客服人員會(huì)及時(shí)跟您聯(lián)系,給您造成不便深表歉意,感謝您的支持和信賴。”
通知書還稱:“重要通知:因?yàn)橥诉€款是第三方合作平臺(tái)預(yù)先把店鋪金額退還到您的支付寶余額上,您再進(jìn)行還款,如果您收到款項(xiàng)不配合還款,導(dǎo)致還款通道關(guān)閉,您個(gè)人賬戶逾期,跟您的個(gè)人征信是關(guān)聯(lián)的,您到時(shí)將被索賠雙倍賠償款,并支付相應(yīng)的利息?!?/p>
據(jù)統(tǒng)計(jì),這50名受騙者都是年輕女性,其中有22名大學(xué)生。受騙者年齡在19歲到31歲之間,平均年齡是23歲。她們?cè)谛〖t書上購買的產(chǎn)品基本上都是化妝品。
受騙時(shí)間分布在3月、4月、5月這3個(gè)月,其中3月受騙16人,4月受騙23人,5月受騙11人。受騙人數(shù)最多的是3月27日,有6人;4月17日有3人受騙;4月19日有4人受騙;就在4月20日本報(bào)刊發(fā)報(bào)道當(dāng)天,還有4人被騙。
50名受騙者受騙總金額為879163.58元,受騙1萬元以下的有25人,受騙1萬~2萬元的有11人,受騙2萬~3萬元的有4人,受騙3萬~4萬元的有3人,受騙4萬~5萬元的有4人,5萬元以上的有3人。最多的一人被騙9.13萬元。
從購買時(shí)間來看,2016年12月和2017年1月各有1人被騙,有13人購買時(shí)間是在2月,有23人購買時(shí)間在3月,有8人購買時(shí)間在4月,有4人購買時(shí)間是在5月。
今年5月18日,26歲的網(wǎng)友“木易”在小紅書購買了沐浴乳和潤膚露。6天后,她接到“小紅書客服”電話,最后被騙4.3萬元。中國青年報(bào)·中青在線記者發(fā)現(xiàn),從在小紅書購買商品日期,到被騙日期的間隔時(shí)間來統(tǒng)計(jì),最短的只有6天,多數(shù)時(shí)間間隔是一個(gè)月左右。
根據(jù)收貨郵件地址,受騙者遍布全國14省份。其中廣東有9人被騙,江蘇有7人被騙,浙江有6人被騙,北京有5人受騙,武漢有3人受騙,沈陽、重慶、成都、合肥各有兩人受騙。
馬琳說,受騙者數(shù)量龐大。從最早的3月到現(xiàn)在,人數(shù)每天都在上升,這是源頭出了問題,而不是小紅書官方指出“用戶自己的快遞單亂扔”等原因那么簡單。受騙者遍布全國各地,收貨地址不同,基本排除了消費(fèi)者泄露信息的可能性。
被利用的弱點(diǎn)
26歲的鄭葉在接電話時(shí),發(fā)現(xiàn)對(duì)方可能是騙子,掛斷電話。沒想到,她還收到了“客服”的“威脅短信”:“女士,那我們就取消您的訂單了,月底您就自行承單(短信原文——記者注)這個(gè)3萬元的賠償以及起訴信!”
螞蟻金服安全管理部相關(guān)人士介紹,事實(shí)上,冒充客服進(jìn)行詐騙,如何給消費(fèi)者“下套”,這些都是話術(shù),專門針對(duì)消費(fèi)者不同時(shí)期的心理,還會(huì)有專門的機(jī)構(gòu)培訓(xùn)做話術(shù)。臺(tái)灣專門有人賣話術(shù),一套7萬多元。
一位業(yè)內(nèi)人士分析,這種詐騙之所以能夠頻頻順利得手,第一步就是受騙者的交易清單?!斑@些交易清單能夠清楚地顯示受騙者購物的時(shí)間和購買的物品,騙子一旦能夠準(zhǔn)確說出這些內(nèi)容,受騙者一般很難會(huì)懷疑小紅書客服的身份?!?/p>
中國青年報(bào)·中青在線記者發(fā)現(xiàn),此次50名受騙者受騙一共涉及21個(gè)網(wǎng)絡(luò)理財(cái)平臺(tái),每個(gè)人受騙可能會(huì)涉及多個(gè)平臺(tái),這些平臺(tái)琳瑯滿目。
據(jù)統(tǒng)計(jì),通過“來分期”有20人受騙,通過“招聯(lián)好期貸”有15人受騙,通過“螞蟻借唄”有14人受騙,有8人通過“支付寶轉(zhuǎn)賬”被騙,有10人通過“安逸花”被騙,通過“馬上金融”有6人受騙,“微信轉(zhuǎn)賬”和“親密付”各有4人受騙,“華夏基金”有3人受騙,微信財(cái)付通有兩人受騙,另外網(wǎng)商銀行、中銀快付、徽商銀行的徽常有財(cái)理財(cái)平臺(tái)、趣店、現(xiàn)金巴士、微信微粒貸、翼支付、甜橙理財(cái)、富國基金、沃百富各有1人受騙。
“這種騙貸手段是網(wǎng)絡(luò)購物詐騙最新類型。”螞蟻金服的一位工作人員介紹,“騙子主要利用老百姓對(duì)網(wǎng)購?fù)丝盍鞒桃约耙恍┬碌木W(wǎng)絡(luò)消費(fèi)金融平臺(tái)不熟悉的弱點(diǎn)。同時(shí),還利用受騙者對(duì)芝麻信用分?jǐn)?shù)似懂非懂,以提高信用分才能退款為名,一步步引誘受騙者上當(dāng)。”
騙子口中的“招聯(lián)好期貸”“螞蟻借唄”“來分期”都是互聯(lián)網(wǎng)金融借貸平臺(tái),均可通過支付寶進(jìn)行個(gè)人消費(fèi)借貸,無需擔(dān)保、抵押。“即便受騙者自己沒有錢,騙子也可以誘騙受騙者在這些平臺(tái)上借貸進(jìn)行詐騙?!?/p>
事實(shí)上,這些受騙者大多是信用記錄良好(信用不好的人借不到錢),有穩(wěn)定收入或家庭條件不錯(cuò)的年輕女性用戶,有多年網(wǎng)購經(jīng)歷,金融機(jī)構(gòu)對(duì)她們的個(gè)人授信實(shí)際上是對(duì)其信用的肯定。
有法律人士認(rèn)為,此種詐騙手段已從騙取個(gè)人錢財(cái)升級(jí)為詐騙金融機(jī)構(gòu),其中,好期貸的錢源自招商銀行,螞蟻借唄的錢來自網(wǎng)商銀行,均屬于金融機(jī)構(gòu)。此種詐騙屬于以非法占有為目的,詐騙銀行或者其他金融機(jī)構(gòu)的貸款且數(shù)額較大,屬于金融犯罪的一種。
小紅書稱未發(fā)現(xiàn)近期有批量賬號(hào)敏感數(shù)據(jù)泄露現(xiàn)象
今年3月29日,27歲的李女士在小紅書購買了防曬霜,4月17日接到“小紅書客服”電話。
“客服”在支付寶上直接把她的訂單號(hào)發(fā)給她,里面有她在蘇州的詳細(xì)收貨地址、購買商品信息,甚至包含著她的小紅書登錄賬號(hào)和密碼。
對(duì)“客服”的身份確認(rèn)無疑后,李女士被騙3.8萬元?!俺宋易约海l會(huì)掌握我的賬號(hào)和密碼?”李女士至今疑惑不解。
4月21日,小紅書通過一家媒體回應(yīng)稱,公司了解情況后第一時(shí)間進(jìn)行了內(nèi)部驗(yàn)證與技術(shù)排查,并未發(fā)現(xiàn)近期有批量賬號(hào)敏感數(shù)據(jù)泄露現(xiàn)象。
據(jù)介紹,小紅書已經(jīng)制訂了一系列風(fēng)險(xiǎn)規(guī)則、安全驗(yàn)證方式和登錄限制,以防范用戶敏感信息在其他渠道泄露導(dǎo)致的相應(yīng)風(fēng)險(xiǎn)。未來,小紅書還將采取一些特別的措施,防止詐騙團(tuán)伙冒充公司客服。
值得一提的是,在50名受騙者中,還有16人是在小紅書采取“特別措施”之后被騙。
這家媒體還報(bào)道稱,受理此案件的黃浦公安表示,該案件目前正在進(jìn)一步偵查中。在網(wǎng)購的過程中,所有接觸到用戶信息的環(huán)節(jié),從手機(jī)軟件、網(wǎng)站、快遞物流到顧客本身,都存在信息泄露的可能性。因此,警方建議消費(fèi)者在網(wǎng)購時(shí)要多提高安全意識(shí),如為不同的網(wǎng)站設(shè)置不同的密碼、不以常用密碼作為支付密碼、及時(shí)銷毀快遞單據(jù)等。
游俠安全網(wǎng)創(chuàng)始人張百川分析說,小紅書稱沒有發(fā)現(xiàn)“批量賬號(hào)敏感數(shù)據(jù)泄露現(xiàn)象”。這就意味著排除了“掃號(hào)撞庫”的可能性。
“撞庫”和“掃號(hào)”都是黑客手段專用術(shù)語。跟它相關(guān)的,還有“拖庫”。簡單來說,拖庫就是黑客用技術(shù)手段入侵一些安全防范不是很高的中小網(wǎng)站,取得大量用戶注冊(cè)名和密碼數(shù)據(jù),然后再把這些用戶名及密碼跟網(wǎng)絡(luò)銀行、支付寶、淘寶等有價(jià)值的網(wǎng)站進(jìn)行匹配登錄,這就是“撞庫”。實(shí)際操作中,黑客往往是通過專門的“掃號(hào)”軟件,批量驗(yàn)證賬號(hào)密碼是否有價(jià)值。
張百川認(rèn)為,信息外露的途徑有很多,只要是牽扯到輸入的地方,都有可能產(chǎn)生輸出。眾多消費(fèi)者集體信息泄露,隨后遭遇詐騙,發(fā)生時(shí)間集中,基本排除數(shù)據(jù)傳輸和消費(fèi)者自身信息泄露的可能?!叭绻蔷W(wǎng)購平臺(tái)大批量出現(xiàn)問題,第一有可能是他們的系統(tǒng)有漏洞,遭到黑客攻擊,竊取了用戶信息;第二也有可能是內(nèi)部人員非法兜售用戶的個(gè)人信息?!?/p>
“每一個(gè)環(huán)節(jié)都有一大幫人做這件事情,是產(chǎn)業(yè)化的方式?!蔽浵伣鸱踩芾聿肯嚓P(guān)負(fù)責(zé)人稱,這些案子背后的黑色產(chǎn)業(yè)鏈非常復(fù)雜,可以從網(wǎng)上買到相關(guān)信息,然后會(huì)有專用的作案工具,包括手機(jī)、電腦、上網(wǎng)卡、銀行卡,等等,專門有一個(gè)卡商回收涉案的卡券,通過發(fā)送二維碼的形式銷贓,最后通過其他平臺(tái)把這些騙取的資金消掉。
誰該為消息泄露負(fù)責(zé)
李西的遭遇被報(bào)道后,也引起小紅書的關(guān)注。4月21日,上海一家媒體刊發(fā)報(bào)道《小紅書愛心款助受騙學(xué)生渡難關(guān)》。文中提到,小紅書客戶服務(wù)部負(fù)責(zé)人胡先生稱,小紅書客服同事們了解到李西家在農(nóng)村,家境不好,母親去年因病住院,還有一個(gè)妹妹在讀高三,這次受騙給她的家人帶來了不小的經(jīng)濟(jì)壓力。
“聽完這位用戶的故事,我們都想幫助她和家人渡過難關(guān)。因?yàn)轵_子是打著小紅書客服的名義詐騙,所以我也向李西道歉并取得了她的諒解。我們客服部的同事們還在內(nèi)部發(fā)起了一次募捐,總共湊了2.11萬元,在上海市公安部門確認(rèn)受騙人賬號(hào)后,這筆愛心捐款目前已經(jīng)轉(zhuǎn)到了李西的銀行卡上。”胡先生說。
有律師認(rèn)為,如果電商平臺(tái)提供了保護(hù)措施,但還是被黑客入侵,這屬于不可抗力,不用承擔(dān)責(zé)任。如果因平臺(tái)存在漏洞而導(dǎo)致信息泄露,那么平臺(tái)就要負(fù)責(zé)。電商平臺(tái)會(huì)獲取個(gè)人信息,它們有保護(hù)個(gè)人信息的義務(wù)和責(zé)任。
現(xiàn)實(shí)中最尷尬的問題是,信息泄露后,往往很難判斷是哪個(gè)環(huán)節(jié)出問題,對(duì)責(zé)任的界定和處罰不明確,從取證到用戶的維權(quán)成本都很高。
如今,小紅書把“皮球”推給了警方。
小紅書相關(guān)部門負(fù)責(zé)人王先生告訴中國青年報(bào)·中青在線記者,相信警方可以調(diào)查清楚,找到盜取用戶信息的幕后主使。
現(xiàn)實(shí)中,這些受騙者的維權(quán)并不順利。受騙者孟浩報(bào)警時(shí),警方就直接告訴她,這種案子不容易破案,尤其是全國各地發(fā)生,也不容易并案。警察還告訴她,有人被騙幾千萬元都找不回來。
一位受騙者給“小紅書客服”打了電話,客服只是例行公事地問了情況,重點(diǎn)強(qiáng)調(diào)了他們絕對(duì)不會(huì)泄露個(gè)人隱私,也絕對(duì)不會(huì)給予任何賠償。
“不是只有我一人發(fā)生這種情況,你去微博搜搜,大批量的用戶信息被泄露,這和你們一點(diǎn)關(guān)系都沒有?你們是否犯了‘侵害公民個(gè)人信息罪’?”受騙者在電話中有點(diǎn)發(fā)火。
對(duì)方質(zhì)問:你有證據(jù)嗎?這位受騙者無言以對(duì)。
“的確,我拿不出任何證據(jù),既然無法舉證,也只能任由自己的信息泄露。”這個(gè)受騙者說,可她還是迫切想知道,她在小紅書的購物信息、電話、支付寶綁定的銀行卡,到底是怎么泄露出去的?
聯(lián)系本報(bào)的部分受騙者信息
?
姓名年齡何時(shí)被騙何時(shí)購買物品受騙金額(元)城市
林某253月12日3月初37961天津
陳某233月13日2月12日22600深圳
李某253月13日1月9日18100蘭州
馬某263月14日2016年12月28日40087.93北京
梁某某203月15日3月3日5151江門
陳某某223月18日2月5號(hào)13258泉州
溫某某213月19日2月12日5700廣州
鄒某某223月26日3月2日9857茂名
劉某203月26日2月19日5800武漢
鄭某某273月27日2月19日980.98佛山
張某193月27日2月底1000武漢
朱某某243月27日2月20日1960蘇州
彭某某223月27日2月19日4527重慶
潘某某213月27日3月2日4427麗水
鄭某某253月27日3月19日53400西安
馬某某253月28日3月2日4000沈陽
鐘某某214月2日2月20日7689成都
吳某某304月3日3月13日90000成都
李某194月9日2月14日30000上海
陳某某234月11日2月7日6000重慶
陳某某214月14日4月5日10551合肥
董某某214月17日3月1號(hào)13000北京
堵某某234月17日3月18日600無錫
李某274月17日3月29日38000蘇州
楚某某204月18日3月16日8950北京
王某264月18日2月6日25000蕪湖
李某某194月19日3月19日10744上海
佩某234月19日3月7日7572廣東
付某224月19日3月16日4500沈陽
伏某某224月19日3月8日8226北京
李某某224月20日4月6號(hào)980杭州
李某244月20日3月5日1000南通
陳某234月20日3月8日1934蘇州
張某某264月20日3月21日5250深圳
孟某284月23日5月12日19507長春
王某274月23日4月1日2300北京
程某某314月25日3月份3920成都
朱某某204月28日3月2日11662溫州
?
截至5月31日的受騙者信息,由李超、蔣豐蔓統(tǒng)計(jì)
中國青年報(bào)