对互联网企业来说,被戴上用户信息泄露的帽子,是一个非常严重的事件。2015年3.15晚会曝光的企业和现象中,涉及到隐私信息买卖、用户遭欺诈的案例占了一半以上的比例,在“互联网+”计划提速、网络支付日益普及的大环境下,一方面用户享受到了便利,另一方面类似的网络欺诈现象会频频发生。所以说,网上传出“京东泄露用户信息,致上百人被骗”的消息,还着实吓了人一跳。
对以交易为主体的电商网站来说,泄露用户信息可是一个大麻烦,处理不及时的话,还会波及更多的用户。放在电商明争暗斗的残酷竞争环境下,又在3.15的敏感期,很容易授人以柄,被大书特书。不过,事实上,笔者看完报道原委就明白了,此“用户信息泄露”非彼“信息泄露”,对用户和电商平台的影响没有一些人想象的那么严重。
背后的真相又是什么呢?
先来回放下媒体的报道,一位用户在京东下单购买了99元的周林频谱仪,而后接到了来自于杭州自称为“京东商家”的电话,谎称“由于系统维护升级,订单无效,需退款”,且能说出订单的商品信息、订单号、快递单号等关键信息,以此为理由,用户被“钓鱼”,按照骗子的提醒,多次输入支付密码,导致被划账了20多万元。据报道称,这样的案例在全国有十几起。
首先,根据报道能判断出来,这个事件与之前的CSDN、携程、当当等平台用户数据泄露,在本质上有明显的区别。拿携程去年3月份的银行信用卡支付信息泄露隐患为例,是平台存在安全漏洞,支付日志包括持卡人姓名、身份证、银行卡类别、银行卡号、CVV码等信息存在泄露风险,被黑客窃取的话,会直接威胁用户账户资金。而当当被公开的用户账号、地址等信息也属批量泄露。CSDN更严重,被黑客直接“拖库”,涉及600万个账户信息。
笔者跟京东内部人士沟通时,对方表示,这个事京东有点“躺枪”的感觉,因为互联网把越来越多的用户绑定后,人们往往谈“泄露信息”色变,所以听到这个消息,很容易与类似事件联系在一起,把矛头指向互联网平台。那么,真相又是什么呢?京东官方给出的解释中用了“撞库攻击”这个词,大概意思是,其他网站被黑客攻击,盗取了用户账户信息,不法分子就拿这些账号和密码到京东、天猫等交易平台上去“撞大运”,因为很多用户使用同一账号和密码,所以个别用户“中招”了。
如果真是大批量的用户信息从京东被攻破、泄露出去,那后果要远比这个严重得多。简单来说,所谓的“信息泄露”提法有点耸人听闻,且是一个小概率事件,影响的用户规模也很有限。但这种诈骗套路已经成为目前网络犯罪的热点,确实是值得关注和警醒的。
电商平台需要帮用户“补课”
这几年,人们越来越习惯网购,尤其是打车、购票、订餐、转账、充值等生活服务,通过手机绑定银行卡,简单操作就能搞定一切。这种支付习惯日益普及,但与之匹配的安全意识并没有得到同步提升。两天前的3.15晚会也曝光了wifi用户信息泄露、欺诈电话等事件,为什么那么多的用户上当受骗,一个是骗子下套越来越精明,二是人们安全意识薄弱,动不动就上钩。
骗子只要拿到一批用户账号和密码,都可以使用“撞库”方式,验证账号和密码,得逞后登陆账户获取订单信息,又以“退款”名义骗用户操作账户,最终导致经济损失。这个过程,如果用户绷紧安全神经,不会轻易被骗钱财。这就要求相关部门和电商共同普及安全知识,在关键点上给用户警示。毕竟用户是弱势群体,专业度也不够。这点,京东及所有电商平台都应该未雨绸缪。
而解决的办法并不复杂。京东在官方回复中,也指出,密码保护、邮箱验证、手机验证、支付密码、数字证书等多级保护措施,每一环节都是一把防护锁,开启安全保护措施就很有效。同时也给出了一些识别骗术的方法,比如京东官方客服不会以400或手机号码联系用户,更不会以QQ线上方式与用户沟通;用户手机收到京东服务或相关支付
的手机验证码,不要告知任何人,也不要填写到任何非京东网站页面中。这些讲起来简单,但真正做到的话,就能防护大多数的欺诈。
“退款欺诈”是一个普遍现象
其实,任何欺诈都是有迹可循的,就像3.15晚会中公布的高发的“中奖”、“法院传票”等手段,以“订单退款”的名义欺诈用户,冒充客服人员实施诈骗,这种作案手段近年来在网络交易平台上相当普遍。3月13日,360互联网安全中心发布的网络欺诈报告显示,网络诈骗类案件同比增长,人均损失2070元,比2013年增长了42.9%。其中虚假兼职、虚假购物和退款欺诈是去年最流行的三类网络欺诈,也是重灾区。
这次京东用户的受骗事件,实际上是典型的“退款欺诈”案件。其主要形式是:骗子登录用户账户,了解订单、账号等信息,然后冒充卖家,通过电话、聊天工具与用户联系,谎称其刚刚购买的商品交易异常,,并“指导”用户进行交易处理,诱骗用户进入钓鱼网站并进行支付操作,最终骗取用户钱财。事实上,京东、天猫、当当、苏宁、国美等主流电商平台,都没有这种所谓的异常订单处理中心。
这种诈骗手段是一个电商从业人员都熟知的套路,只不过普通用户往往并不知情。解决的办法也很简单,电商平台广而告之,骗子一耍“退款”的花招,消费者就提高警惕,他们也就很难得逞了。例如,京东在付款成功的界面上增加“京东不会以订单异常、升级系统为由,要求您点击链接退款”的安全提醒就很奏效,包括在商家后台发防诈骗公告,订单查询页面添加安全提示。同时,用户也需要尽量在电商等交易平台上使用不同于其他网站的用户信息,避免被撞库。只要电商平台联起手来,用户提高警惕,“退款欺诈”应该很快就会销声匿迹。
来自360的报告也认为,“退款欺诈”高发还有一个原因,主要是2014年连续发生了多起大型网站系统被入侵,用户账号、密码被批量泄露的事件,让不法分子手中有了不少可以去撞库的资源。这个角度看,京东等电商平台上出现的少量用户被欺诈,应该是释放出来的一个信号,值得所有电商和用户关注。